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Editorial 


Social-Media - Verweigern, gestalten oder Alternativen suchen? 


Sie kennen die typischen Antworten zum Thema Social-Media, sei es nun das ver- 
neinende „Mit Twitter kenne ich mich überhaupt nicht aus“ oder das zähneknir- 
schend akzeptierende „Klar kenne ich die Datenschutzprobleme mit WhatsApp - 
ich habe auch nur eine Gruppe mit meiner Familie und Freunden“. Die meisten 
Befragten haben zu vielen sozialen Medien eine persönliche Position eingenom- 
men, die sehr oft auf das Privacy Paradoxon hinausläuft. Viele Kritikpunkte wer- 
den angeführt, doch sich völlig abstinent zu verhalten heißt oft von dem sozialen 
Geschehen ausgeschlossen zu sein. 


Mit den Beiträgen in diesem Heft gehen wir der Verantwortung der Betreiber auf 
den Grund, analysieren erstmalig in der DANA das Phänomen Twitter und zeigen 
Alternativen auf zu Facebook und WhatsApp. Angesichts der Größe des Skandals 
um fast 1000 gehackte Prominenten-Accounts sahen wir uns außerdem veran- 
lasst, diesen komplett zu dokumentieren. 


Und seit Januar ist Ulrich Kelber Bundesbeauftragter für Datenschutz und Infor- 
mationsfreiheit. Roland Appel verabschiedet sich mit seinem Artikel von der nun 
ehemaligen BfDI, Frau Voßhoff. 


Die Nachrichten aus dem In- und Ausland runden das Heft wie immer ab. Außer- 
dem liegt dieser DANA das Register für das vergangene Jahr 2018 bei. 


Wir wünschen Ihnen eine gute Lektüre! 
Heinz Alenfelder 
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Thilo Weichert 


Verantwortlichkeiten bei Social-Media-Plattformen 


1 Vorgeschichte 


Seit 2011 kämpft das Unabhängi- 
ge Landeszentrum für Datenschutz 
Schleswig-Holstein (ULD) dafür, dass 
Betreiber von Seiten auf Social-Media- 
Plattformen dafür sorgen müssen, dass 
der Datenverkehr, der über die Nutzung 
der eigenen Seite ausgelöst wird, auch 
beim Plattformbetreiber datenschutz- 
konform ist. Die Frage der Verantwort- 
lichkeit für die Social-Media-Daten- 
verarbeitung stellt sich angesichts der 
dort praktizierten Komplexität und 
Arbeitsteilung bei praktisch allen An- 
wendungen: der Suche, der Werbung, 
der Individual- und Gruppenkommuni- 
kation, dem Bloggen, dem Einsatz von 
Apps und Plug-ins, dem Online-Handel 
oder dem Online-Zahlen. 

Konkret ging es bei den Verfahren des 
ULD insbesondere um den Betrieb von 
Facebook-Fanpages. Dieser war damals 
und ist bis heute datenschutzrechtlich 
unzulässig.! Zumindest bei kommerziell 
Nutzenden kommt den Plattform-Nut- 
zenden eine (Mit-)Verantwortlichkeit 
für die Rechtmäßigkeit der Datenver- 
arbeitung durch die Plattform zu. Da 
das ULD die Auswertung der Daten aus 
der Fanpagenutzung bei Facebook für 
unzulässig ansah, beanstandete es den 
Betrieb vieler privater und öffentlicher 
Fanpages. Einige wenige öffentliche 
Stellen machten daraufhin ihre Fanpage 
dicht, die meisten nicht. 

Für die kommerziellen Anbieter von 
Fanpages warf sich die Industrie- und 
Handelskammer Schleswig-Holstein 
(IHK) mit Vehemenz in die Bresche: Es 
gehe doch nicht an, dass den Unterneh- 
men in Schleswig-Holstein das verbo- 
ten werde, was weltweit praktiziert 
wird - nämlich die Werbung für sich und 
die Vermarktung über eine Facebook- 
Fanpage. Dies sei geschäfts- und stand- 
ortgefährdend. Selbst der Ministerprä- 
sident des Landes Schleswig-Holstein, 
Torsten Albig, weigerte sich, seine Seite 
dicht zu machen. Dies fand Fürsprache 
vieler „Realisten” in der Rechtswissen- 


schaft. So nahm z. B. das Lorenz-von- 
Stein-Institut der Christian-Albrechts- 
Universität zu Kiel unter der Leitung 
von Utz Schliesky, zugleich CDU-Land- 
tagsdirektor, mit einer pseudowissen- 
schaftlichen Publikation Partei für die 
Facebook-Fanpagebetreiber, von der 
IHK bis zum Ministerpräsidenten.? 

Das ULD ließ sich auf einen Deal ein. 
Es verzichtete nicht nur auf die soforti- 
ge Vollstreckbarkeit des Betriebsverbots 
der Fanpages durch die privaten Unter- 
nehmen, sondern verständigte sich mit 
der IHK darauf, im Hauptsacheverfah- 
ren einen Musterprozess wegen des 
Fanpage-Betriebs gegen die IHK-Toch- 
ter Wirtschaftsakademie Schleswig-Hol- 
stein zu führen und bis zu dessen Ab- 
schluss die aufsichtsbehördlichen Füße 
in dieser Frage still zu halten.’ 

Damit begann Ende 2011 eine Pro- 
zessodyssee, die bis heute nicht abge- 
schlossen ist. Die erste Instanz, das Ver- 
waltungsgericht (VG) Schleswig, zeigte 
nach über eineinhalb Jahren Brüten 
überhaupt kein Verständnis für das ULD 
und dessen Argumentation, dass kom- 
merzielle Werbung über Social Media bei 
ausländischen Betreibern wie Facebook 
datenschutzkonform sein müsse.‘ Die 
Hoffnung, dass die Berufungsinstanz 
des Oberverwaltungsgerichts (OVG) 
in Schleswig grundrechtsorientierter 
entscheiden würde, wurde ein weiteres 
Jahr später enttäuscht.° 

Das ULD legte gegen dieses Beru- 
fungsurteil Revision ein.° Erst jetzt 
begann langsam eine juristische De- 
batte, bei der zumindest teilweise die 
Überlegungen des ULD ernsthaft erwo- 
gen wurden’: Es kann nicht angehen, 
dass man sich durch die Nutzung eines 
Portals seiner datenschutzrechtlichen 
Verantwortung entledigt. Das Problem 
besteht nicht nur für Facebook, sondern 
praktisch für alle Social Media, nach 
deutscher Terminologie also für alle Te- 
lemediendienste ($ 1 Abs. 1 TMG), die 
ihrerseits wieder Webseiten und andere 
Mediendienste einbinden. Das ULD hat- 
te von Anfang an damit argumentiert, 


dass auch bei einer Auftragsdatenver- 
arbeitung durch Einschaltung sonstiger 
IT-Dienstleistenden - damals nach 8 11 
BDSG-alt - kein Abschieben der Verant- 
wortlichkeit möglich ist. 

Das als Revisionsinstanz angerufene 
Bundesverwaltungsgericht (BVerwG) 
verharrte ebenso wie die Vorgerichte in 
der überkommenen, begriffsorientier- 
ten Datenschutzdenke. Doch erkannte 
es eine Schutzlücke, weshalb es den Eu- 
ropäischen Gerichtshof (EuGH) anrief.? 
Der Schlussantrag des EuGH-Generalan- 
walts, Bot, vom 24.10.2017 übernahm 
dann fast vollständig die Argumentati- 
on des ULD.° Und dieser Position schloss 
sich dann mit Urteil vom 05.06.2018 
auch der EuGH an, wenige Tage nach- 
dem die Europäische Datenschutz- 
Grundverordnung (DSGVO) direkt an- 
wendbar geworden war.'!’ Das Verfahren 
hängt nun wieder beim BVerwG. Sollte 
das BVerwG erneuten Beweisbedarf se- 
hen, so dürfte es das konkrete Verfahren 
wieder zurück an das OVG Schleswig ver- 
weisen. Es ist nicht absehbar, wann also 
das konkrete Verfahren der Wirtschafts- 
akademie der IHK Schleswig-Holstein 
abgeschlossen sein wird. Doch darauf 
kommt es nicht mehr an. Der EuGH hat 
die Rechtsfragen zur Verantwortlichkeit 
bei Social Media geklärt. 


2 Verfahren beim EuGH 


Rechtlicher Anknüpfungspunkt der 
datenschutzrechtlichen Verantwort- 
lichkeit ist, so der EuGH, dass eine Stel- 
le „allein oder gemeinsam mit anderen 
über die Zwecke und Mittel der Verar- 
beitung von personenbezogenen Daten 
entscheidet”.!! Bei der Antwort auf die 
Frage, wann dies der Fall ist, lässt sich 
das oberste europäische Gericht vom 
Ziel leiten, „einen wirksamen und um- 
fassenden Schutz der betroffenen Per- 
sonen zu gewährleisten”.'? 

Es stellt fest, dass mit der Einrich- 
tung einer Fanpage ein Vertrag zwi- 
schen dem Fanpagebetreiber und dem 
Plattformbetreiber Facebook entsteht, 
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dessen Inhalt durch Nutzungsbedin- 
gungen „einschließlich der entspre- 
chenden Cookie-Richtlinie” von Face- 
book vorgegeben ist.'’ Im Rahmen des 
durch Einrichtung der Fanpage zustan- 
de kommenden Vertrags wird Facebook 
eine umfassende Nutzung der Betroffe- 
nendaten ermöglicht und die Platzie- 
rung von Cookies auf den Geräten der 
Endnutzenden vorgesehen: „Folglich 
trägt der Betreiber einer auf Facebook 
unterhaltenen Fanpage zur Verarbei- 
tung der personenbezogenen Daten der 
Besucher seiner Seite bei.”'* Er ermög- 
licht dadurch ein umfassendes Profiling 
der BesucherInnen, dessen Ergebnisse 
auf Seite der Fanpagebetreiber anony- 
misiert mitgeteilt werden, auf Seiten 
von Facebook aber personenbezogen 
bleiben. Das Datenschutzrecht verlan- 
ge nicht, „dass bei einer gemeinsamen 
Verantwortlichkeit mehrerer Betreiber 
für dieselbe Verarbeitung jeder Zugang 
zu den betreffenden personenbezoge- 
nen Daten hat“.'° Der Fanpagebetreiber 
ist also „an der Entscheidung über die 
Zwecke und Mittel der Verarbeitung ... 
beteiligt” und damit gemeinsam mit 
Facebook verantwortlich.'‘ 

Dass die Ziele des Fanpagebetreibers 
nicht völlig mit denen von Facebook 
übereinstimmen, kann ihn nicht von 
seinen Pflichten befreien.” Die von den 
gemeinsam Verantwortlichen verfolg- 
ten Zwecke können unterschiedlich 
sein; sie können sich ergänzen und dür- 
fen sich faktisch nicht gegenseitig aus- 
schließen. Dies gilt insbesondere auch, 
wenn die BesucherInnen als Betroffene 
keine Nutzenden mit Facebook-Benut- 
zerkonto sind.'? 

Abschließend wird vom EuGH klar- 
gestellt, dass die Bewertung „nicht 
zwangsläufig eine gleichwertige Ver- 
antwortlichkeit der verschiedenen Ak- 
teure zur Folge hat, die von einer Ver- 
arbeitung personenbezogener Daten 
betroffen sind. Vielmehr können diese 
Akteure in die Verarbeitung personen- 
bezogener Daten in verschiedenen Pha- 
sen und in unterschiedlichem Ausmaß 
in der Weise einbezogen sein, dass der 
Grad der Verantwortlichkeit eines je- 
den von ihnen unter Berücksichtigung 
aller maßgeblichen Umstände des Ein- 
zelfalls zu beurteilen ist.”'’ Damit wird 
ErwGr. 79 DSGVO bekräftigt, wonach es 
auch bei der gemeinsamen Verantwort- 


DANA ® Datenschutz Nachrichten 1/2019 


lichkeit „einer klaren Zuteilung der Ver- 
antwortlichkeiten” bedarf. 

Die Frage gemeinsamer Verantwort- 
lichkeit steht inzwischen im Fokus 
datenschutzrechtlicher Diskussionen. 
Dies ist mit der hohen praktischen Re- 
levanz begründet. Viele rechtliche und 
praktische Folgefragen müssen beant- 
wortet werden. Für diese Antworten 
bieten weitere EuGH-Verfahren einiges 
Material. So entschied der EuGH kurz 
nach seinem Facebook-Urteil und jen- 
seits der Debatte zu Social Media zur 
gemeinsamen Verantwortlichkeit der 
Zeugen Jehovas und der für diese täti- 
gen von Tür zu Tür verkündenden und 
Daten sammelnden Missionare. Auch 
hier bejahte der EuGH die gemein- 
same Verantwortung und, dass dies 
„nicht zwangsläufig eine gleichwerti- 
ge Verantwortlichkeit der verschiede- 
nen Akteure für dieselbe Verarbeitung 
personenbezogener Daten zur Folge” 
hat: „Vielmehr können diese Akteure 
in die Verarbeitung personenbezoge- 
ner Daten in verschiedenen Phasen 
und in unterschiedlichem Ausmaß 
einbezogen sein, so dass der Grad der 
Verantwortlichkeit eines jeden von ih- 
nen unter Berücksichtigung aller maß- 
geblichen Umstände des Einzelfalls zu 
beurteilen ist”.?° Im vorliegenden Fall 
ergab sich eine Differenzierung da- 
durch, dass die konkreten Erhebungs- 
prozesse ausschließlich von den Ver- 
kündigenden, die generelle Verarbei- 
tungsstrategie durch Koordination und 
Organisation sowie die anschließende 
Zusammenführung und Weiterverar- 
beitung aber gemeinsam bzw. durch die 
Vereinigung bestimmt wurden.?' 

Die gemeinsame „Entscheidung über 
die Zwecke und Mittel der Verarbei- 
tung” beurteilt sich objektiv und nicht 
danach, dass dies „mittels schriftlichen 
Anleitungen oder Anweisungen ... erfol- 
gen muss”.”” „Eine natürliche oder ju- 
ristische Person, die aus Eigeninteresse 
auf die Verarbeitung personenbezoge- 
ner Daten Einfluss nimmt und damit an 
der Entscheidung über die Zwecke und 
Mittel dieser Verarbeitung mitwirkt“”, 
kann als für die Verarbeitung Verant- 
wortlicher angesehen werden.” 

Die nächste EuGH-Entscheidung zum 
Thema ist nach einer Vorlage des OLG 
Düsseldorf zu erwarten zur Verant- 
wortlichkeit des Betreibers einer Web- 


seite, der dort ein von einem Dritten 
bereitgestelltes Plugin, nämlich den Fa- 
cebook-,Gefällt mir”-Button, einge- 
bunden hat. Gemäß der Ansicht des die- 
se EuGH-Entscheidung vorbereitenden 
Generalanwalts, Bobek, sind der Web- 
seitenbetreiber und Facebook als ge- 
meinsame Verantwortliche anzusehen, 
wobei sich die gemeinsame Verantwort- 
lichkeit des Webseitenbetreibers auf 
die Verarbeitungsvorgänge beschränkt, 
„für die er tatsächlich einen Beitrag zur 
Entscheidung über die Mittel und Zwe- 
cke der Verarbeitung der personenbezo- 
genen Daten leistet.” Sie bestehe nicht, 
wenn der Webseitenbetreiber weder für 
die vorhergehenden noch die nachfol- 
genden Phasen der Gesamtkette der Da- 
tenverarbeitungsvorgänge verantwort- 
lich gemacht werden (kann), für die er 
weder die Zwecke noch die Mittel habe 
festlegen können. 

Gemeinsame Verantwortlichkeit be- 
stehe also beim „Gefällt-mir“-Button 
nur für die „Phase der Erhebung 
und Übermittlung.” Trotz fehlender 
Zweckidentität bestehe eine Einheit der 
Zwecke: Es würden kommerzielle und 
Werbezwecke verfolgt. Die Entschei- 
dung der betroffenen Webseiten-Be- 
treiberin, der FashionID, den Facebook- 
„Gefällt mir“-Button auf ihrer Webseite 
einzubinden, scheine von dem Wunsch 
getragen gewesen zu sein, die Sicht- 
barkeit ihrer Produkte über das soziale 
Netzwerk zu erhöhen. Die materiell- 
rechtliche Zulässigkeit, für die auch der 
Webseiten-Betreiber zur Rechenschaft 
gezogen werden kann, sei dann eine 
Frage der Abwägung zwischen den be- 
rechtigten Interessen der Verantwortli- 
chen und den schutzwürdigen Betroffe- 
neninteressen (vgl. Art.6Abs.1S.1lit.f 
DSGVO).?° Es ist damit zu rechnen, dass 
- wie auch bei den beiden vorangegan- 
genen Verfahren - der EuGH hier dem 
Votum des Generalanwalts folgen wird, 
so dass diese Positionen als geklärt an- 
gesehen werden können. 

Es kann also zusammengefasst wer- 
den, dass eine gemeinsame Verantwort- 
lichkeit bei allen Formen kumulativen 
Zusammenwirkens gegeben ist. Da- 
von kann immer ausgegangen werden, 
wenn die Datenverarbeitung ohne den 
direkten Input der Stelle potenziell an- 
ders gestaltet worden wäre. Bereits die 
Veranlassung wie auch eine direktive 


Mitgestaltung sind verantwortungsbe- 
gründend. Dies gilt z. B. auch, wenn bei 
einer Auftragsverarbeitung der Auftrag- 
nehmer über seine klassische weisungs- 
abhängige Unterstützungsfunktion hin- 
aus tätig wird (Art. 28 Abs. 10 DSGVO).* 
Relevant ist nicht die (getrennte) Be- 
trachtung der einzelnen Verarbeitungen 
(Mikroebene), sondern die Beurteilung 
der Verarbeitungsschritte aus der Sicht 
der Betroffenen (Makroebene). Einheit- 
liche Verarbeitungen und zwangsläufi- 
ge Verarbeitungsketten begründen eine 
gemeinsame Verantwortlichkeit.?” 


3 Nutzerdatenverarbeitung und 
Datendrittbezug 


Weitgehend ungeklärt blieb bisher die 
rechtliche Frage, inwieweit auch Nut- 
zende von Social-Media-Plattformen als 
datenschutzrechtlich Verantwortliche 
anzusehen sind. Dies gilt zwar nicht 
für die eigenen Daten, da die Nutzen- 
den insofern ausschließlich Betroffene 
1.5. v. Art. 4Nr. 1 DSGVO sind. Zugleich 
aber werden bei der Nutzung von Platt- 
formen wie Facebook die Daten Dritter 
an den Plattformbetreiber übermittelt, 
etwa in Form der Adressbücher, selbst 
wenn diese Dritte nicht Mitglieder der 
Plattform sind. Eindeutig ist die Ver- 
antwortlichkeit des Nutzenden, wenn er 
über Social Media Inhalte über Dritte ins 
Netz stellt.?® 

Das Gesetz gibt auf die Frage, wie Da- 
ten aus Social Media mit Drittbezug 
geschützt werden, keine explizite Ant- 
wort. Nach Abschluss der Kommunika- 
tion mit einem Kommunikationspart- 
ner befinden sich die Absenderdaten 
umfassend in der Verfügungsmacht des 
Empfängers;?° dies bedingt für den Emp- 
fänger Befugnis und Bürde zugleich. 
Die betroffenen Empfänger müssen mit 
den Daten der Dritten pfleglich umge- 
hen. Bei der Internetkommunikation 
wird den Kommunikationspartnern die 
Wahrnehmung ihrer Verantwortung oft 
dadurch von den Plattformanbietern 
unmöglich gemacht, dass diese die 
Adress- und Sendedaten der anderen 
Kommunikationspartner ungefragt z.B. 
zu Profilingzwecken abziehen. Dies ent- 
bindet die Empfangenden aber nicht 
von ihrer Pflicht und Verantwortlich- 
keit. Sie dürfen (eigentlich) keine Ver- 
fahren nutzen, über welche Drittdaten 


entsprechend unkontrolliert abgezogen 
und genutzt werden. 

Die Plattformnutzenden bestimmen 
über die „Zwecke und Mittel der Verar- 
beitung” durch die Auswahl der Platt- 
form mit. Bezüglich jeder Form von 
Daten mit Drittbezug bedeutet dies, 
dass die Person, deren Daten verarbei- 
tet werden, für die Rechtmäßigkeit der 
Datenverarbeitung der durch den Dritt- 
bezug Betroffenen (mit) verantwort- 
lich ist. Die (Mit-)Verantwortlichkeit 
der in erster Linie „betroffenen Person” 
entbindet selbstverständlich nicht den 
Plattformbetreiber von der Beachtung 
des Datenschutzrechts auch in Bezug 
auf Dritte. Bei Drittbezug entsteht also 
die - nur auf den ersten Blick - unge- 
wöhnlich erscheinende Situation, dass 
ein Betroffener und weitere verarbei- 
tende Stellen gemeinsam nach Art. 26 
DSGVO verantwortlich sein können. 

Der Drittbezug von personenbezoge- 
nen Daten schließt nicht aus, dass der 
Betroffene darüber verfügt. Der Betrof- 
fene hat, weil es auch „seine Daten” 
sind, hieran grds. ein „berechtigtes In- 
teresse” (Art. 6 Abs. 1S.1lit. £DSGVO). 
Wohl aber ist er als Verantwortlicher ver- 
pflichtet darauf zu achten, dass dabei 
nicht „die Interessen oder Grundrechte 
und Grundfreiheiten“ der betroffenen 
Dritten überwiegen. Der Plattforman- 
bieter muss also den Nutzenden durch 
entsprechende Zusicherungen gewähr- 
leisten, dass die Interessen der Dritten 
nicht beeinträchtigt werden. Fehlt es 
hieran, so dürfen - streng nach dem Da- 
tenschutzrecht - UserInnen die jewei- 
lige Plattform nicht verwenden, soweit 
bei ihrer Nutzung Drittdaten anfallen. 

Verantwortlichkeit setzt Identifizier- 
barkeit voraus. D. h. Internetnutzende 
müssen zur Verantwortung für ihr Han- 
deln im Netz gezogen und dafür iden- 
tifiziert werden können, wenn Daten 
von Dritten verarbeitet werden. Dies 
bedeutet nicht, dass im Interesse der 
Datensparsamkeit auf die Möglichkeit 
der pseudonymen Netznutzung verzich- 
tet werden muss. Wohl aber sind dann 
Prozesse nötig, mit denen bei Drittda- 
tenverarbeitung pseudonyme Nutzende 
(re-Jidentifiziert werden können. Dies 
steht nicht im Widerspruch zu der Rege- 
lung des 8 13 Abs. 6 Telemediengesetz 
(TMG), der „soweit technisch möglich 
und zumutbar” einen Anspruch auf Nut- 


zung „anonym oder unter Pseudonym” 
begründet.’° Bei gemeinsamer Verar- 
beitung mit Drittbezug kommt eine an- 
onyme Nutzung nur in Ausnahmefällen 
in Betracht, wenn der Drittschutz etwa 
durch Rechtsschutzmöglichkeiten der 
Dritten bei einem anderen (gemein- 
sam) Verantwortlichen gesichert ist; die 
pseudonyme Nutzung legt grds. einen 
Prozess der Reidentifizierung im (Dritt-) 
Betroffeneninteresse nahe. 


4 Vereinbarung 


Welche Folgen hat die gemeinsame 
Verantwortlichkeit bei Social-Media- 
Plattformen? Die Antwort darauf gibt 
Art. 26 DSGVO: Die gemeinsam Ver- 
antwortlichen „legen in einer Verein- 
barung in transparenter Form fest, wer 
von ihnen welche Verpflichtung gemäß 
der Verordnung erfüllt, insbesondere 
was die Wahrnehmung der Rechte der 
betroffenen Person angeht, und wer 
welchen Informationspflichten gemäß 
den Artikeln 13 und 14 nachkommt, 
sofern und soweit die jeweiligen Aufga- 
ben der Verantwortlichen nicht durch 
Rechtsvorschriften der Union oder der 
Mitgliedstaaten, denen die Verantwort- 
lichen unterliegen, festgelegt sind“ 
(Art. 26 Abs. 1 S. 2 DSGVO). Die Ver- 
einbarung muss gemäß Art. 26 Abs. 2 
DSGVO „die jeweiligen tatsächlichen 
Funktionen und Beziehungen der ge- 
meinsam Verantwortlichen gegenüber 
betroffenen Personen gebührend wider- 
spiegeln”, was bedeutet, dass diese den 
Betroffenen zumindest auf Nachfrage 
zur Verfügung zu stellen ist. Adressat 
der Wahrnehmung der Betroffenenrech- 
te sind sämtliche gemeinsam Verant- 
wortlichen (Abs. 3). 

Die gemeinsam Verantwortlichen wer- 
den zum Abschluss einer Vereinbarung, 
also eines Vertrags, verpflichtet.°' Die 
Regelung geht davon aus, dass grds. 
kein _Über-Unterordnungsverhältnis 
zwischen den Vertragspartnern be- 
steht, sondern eine gleichberechtigte 
Verantwortung im Sinne einer Ar- 
beitsteilung.” Eine stillschweigende 
Kooperation von Stellen mit einer kon- 
kludenten „Vereinbarung“ ist praktisch 
ausgeschlossen.’® Anders als für die 
Auftragsverarbeitung (Art. 28 Abs. 9 
DSGVO) ist aber keine bestimmte Form 
vorgesehen.” 
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Die Vereinbarung muss „die jeweiligen 
tatsächlichen Funktionen und Bezie- 
hungen der gemeinsamen Verantwort- 
lichen gegenüber den Betroffenen ge- 
bührend widerspiegeln“ (Art. 26 Abs. 2 
S. 1 DSGVO). Dies hat denklogisch zur 
Folge, dass die Vereinbarung auch die 
Beziehung zwischen den gemeinsamen 
Verantwortlichen regelt: Die Darstel- 
lung hinsichtlich der Rechte und Pflich- 
ten gegenüber den Betroffenen grenzt 
zugleich die Pflichten untereinander 
im Innenverhältnis ab.’ Die Pflicht zur 
Vereinbarung hat vorrangig die Funkti- 
on der Wahrung der Betroffenenrechte, 
wozu auch das Recht gehört, dass die 
eigenen Daten rechtmäßig verarbeitet 
werden.°° Zugleich wird damit aber auch 
das Rechtsschutzinteresse zwischen 
den Verantwortlichen gewahrt.’ Es soll 
ausgeschlossen werden, dass im Fall 
eines Ungleichgewichts zwischen den 
„Verantwortlichen eine ungebührliche 
interne ‚Freizeichnung’ eines Verant- 
wortlichen vereinbart wird”.’® Die Ver- 
teilung der Verantwortlichkeiten gemäß 
der Vereinbarung muss den faktischen 
Verhältnissen folgen und kann eine in- 
terne Aufgabenaufteilung zwischen den 
Verantwortlichkeiten regeln.” 

Durch die private Vereinbarung kann 
das staatlich vorgegebene Recht nicht 
modifiziert werden. D. h. die Rechte 
und Pflichten der DSGVO bzw. generell 
der Datenschutzgesetze gelten und 
zwar für jeden der Verantwortlichen. 

In Art. 26 DSGVO werden die in der 
Vereinbarung nötigen Inhalte benannt, 
nicht aber deren Detailliertheitsgrad.“ 
Wesentlich sind alle Inhalte, die den 
Umgang mit den personenbezogenen 
Daten betreffen und die diesbezügliche 
Organisation der Verantwortlichen.‘ Da 
die Vereinbarung nicht nur im Innen-, 
sondern auch im Außenverhältnis, 
also auch gegenüber den Betroffenen, 
Transparenz (Art. 5 Abs. 1 lit. a DSGVO) 
schaffen soll, müssen die Anforderun- 
gen der Art. 13, 14 DSGVO erfüllt sein, 
wozu gehört, dass die Angaben für die 
Betroffenen präzise, leicht zugänglich, 
verständlich und in klarer Sprache ge- 
fasst sein müssen (Art. 12 Abs. 1, 26 
Abs. 25. 2 DSGVO).“? 

Zentraler Inhalt der Vereinbarung 
muss es sein, die Zwecke und Mittel 
der Datenverarbeitung der jeweiligen 
Verantwortlichen zu benennen.‘ Wei- 
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tere obligatorische Inhalte ergeben sich 
durch dieinden Art. 13, 14DSGVO aufge- 
führten Informations- und diein Art. 15 
DSGVO dargelegten Auskunftspflich- 
ten.‘ Die Verantwortlichen müssen sich 
gegenseitig die Informationen zur Ver- 
fügung stellen, die zur Erfüllung der In- 
formationspflichten benötigt werden.“ 

Selbstverständlich muss die Daten- 
verarbeitung sämtlicher gemeinsam 
Verantwortlicher rechtmäßig sein. So- 
weit die gemeinsame Verantwortlichkeit 
reicht, müssen die Voraussetzungen der 
Rechtmäßigkeit bei allen Verantwortli- 
chenvorliegen. Erfolgtz. B. ein Tracking 
durch einen der gemeinsam Verantwort- 
lichen, so wie dies bei den Fanpages, 
dem Like-Button oder beim Custom Au- 
dience von Facebook der Fall ist, dann 
bedarf es grds. der Einwilligung der 
Nutzenden.‘“ Um die Rechtmäßigkeit 
beurteilen zu können, müssen sich die 
gemeinsam Verantwortlichen gegensei- 
tig über die relevanten Informationen 
hierzu austauschen.“ 

Hinsichtlich datenschutzrechtlich 
relevanter Vertragsinhalte von Daten- 
verarbeitern ist Art. 28 DSGVO zur Auf- 
tragsverarbeitung und dort insbeson- 
dere der Absatz 3 stilbildend. Bei den 
notwendigen Regelungspunkten kann 
insofern eine Anleihe gemacht werden, 
wobei aber die anders gelagerte Bezie- 
hung zwischen den Vertragspartnern 
berücksichtigt werden muss: Während 
beim Auftrag zumindest formal ein 
Über-Unterordnungsverhältnis besteht, 
haben wir hier - auch zumindest formal 
- eine gleichberechtigte Beziehung. 
Bei der Auftragsdatenverarbeitung 
hat der Auftraggeber die vorrangige 
materiell-rechtliche Verantwortung; 
bei der gemeinsamen Verantwortung 
liegt diese bei allen Verantwortlichen 
uneingeschränkt. Entsprechendes gilt 
für die Voreinstellungen (Privacy by 
Default) gemäß Art. 25 Abs. 2 DSGVO. 
Hinsichtlich der sonstigen technisch- 
organisatorischen Vorkehrungen nach 
Art. 32 DSGVO, die bei der Auftrags- 
verarbeitung voll dem Auftraggeber 
zugeordnet bleiben, können und müs- 
sen dagegen bei gemeinsamer Verant- 
wortlichkeit dort Abstriche gemacht 
werden, wo der jeweilige Verantwortli- 
che arbeitsteilig die „Verantwortung“ 
übernimmt. Anders als beim materiel- 
len Recht und beim Privacy by Default 


gibt es hier nicht nur richtige oder fal- 
sche Lösungen. Vielmehr kann ein gan- 
zer Instrumentenkasten zum Einsatz 
kommen, bei dem es auch kurzfristig 
Änderungen bzw. Änderungsnotwen- 
digkeiten gibt, die nicht in jedem Fall 
den anderen Verantwortlichen kommu- 
niziert werden können und müssen. Aus 
Sicherheitsgründen und zur Wahrung 
von Betriebs- und Geschäftsgeheim- 
nissen können die jeweiligen Verant- 
wortlichen u. U. Vertraulichkeit für sich 
beanspruchen. Entsprechendes kann 
gelten, wenn einer der Verantwortli- 
chen für seine Verarbeitung Auftrags- 
verarbeiter in Anspruch nimmt. Die Ka- 
tegorien der Auftragnehmer sind aber 
zumindest zu benennen (vgl. Art. 15 
Abs. 1 lit. c DSGVO). Bestehen jedoch 
bzgl. technisch-organisatorischer Maß- 
nahmen oder einer Auftragsverarbei- 
tung konkret begründete Zweifel an der 
Rechtmäßigkeit, so besteht auch inso- 
fern ein Informationsbedarf und -an- 
spruch der anderen Verantwortlichen. 
Folgende Aspekte sind für die Ver- 
einbarung wesentlich: 
- verfolgte Zwecke jedes einzelnen Ver- 
antwortlichen in Bezug auf jede Da- 
tenart, also z. B. Namen, Identifizie- 
rungsdaten, IP-Adressen, Standort- 
daten, Kommunikationsdaten zu Zeit, 
Dienst, Partner, (Kommunikations-) 
Inhaltsdaten, evtl. differenziert nach 
Vertraulichkeitseinstellung der Nut- 
zenden, 
Differenzierung nach Datenverarbei- 
tung auf Einwilligungsbasis, auf Ver- 
tragsbasis, auf Abwägungsbasis bei 
(Plattform-) Mitgliedern, auf Abwä- 
gungsbasis bei Drittnutzenden, 
- Differenzierung nach Sensitivität 
(Art. 9 DSGVO) sowie bei Kinderdaten- 
verarbeitung (vgl. Art. 8 DSGVO), 
Übermittlung an dritte Stellen, 
- insbesondere Drittlandtransfers (Art. 15 
Abs. 1lit. cDSGVO), 
- Anonymisierung und Löschfiisten, 
involvierte Logik beim Profiling oder 
bei sonstigen automatisierten Ent- 
scheidungsverfahren (Art. 15 Abs. 1 
lit. h, Art. 22 DSGVO). 


Hinsichtlich der Wahrnehmung der 
Betroffenenrechte können Abspra- 
chen zwischen den gemeinsam Verant- 
wortlichen vorgenommen werden. Dazu 
gehört insbesondere die Information 


der Betroffenen nach den Art. 13, 14 
DSGVO. Bzgl. der Bearbeitung von An- 
sprüchen aus den Art. 15-18, 21 DSGVO 
können zentrale Anlaufstellen etabliert 
werden (Art. 26 Abs. 1S. 3 DSGVO). Für 
die Umsetzung von Betroffenenrechten 
ist eine gegenseitige Mitteilung vorzu- 
sehen (Art. 19 DSGVO).“? 

Entgegen dem Idealbild einer gleich- 
rangigen Vereinbarung haben bei Social 
Media die Plattformanbieter gegenüber 
den einzelnen Seiten-Betreibern und 
den betroffenen Nutzenden eine ein- 
seitig bestimmende Position. Es ist in 
diesen Fällen auch wegen der Massen- 
haftigkeit der Prozesse dann nahelie- 
gend, dass vom Plattformbetreiber vor- 
formulierte Vereinbarungen verwendet 
werden. Dies ist selbst bei Auftragsver- 
hältnissen nach Art. 28 DSGVO üblich. 
In diesen Fällen sind die 88 305 ff. BGB 
zu den allgemeinen Geschäftsbedingun- 
gen anwendbar. In derartigen Bezie- 
hungen besteht staatlicherseits gegen- 
über dem schwächeren Vertragspartner 
eine Schutzpflicht, um zu vermeiden, 
dass sich die per Privatautonomie zu- 
stehende Selbstbestimmung in eine 
Fremdbestimmung verkehrt.“? 

Dies ist bei Social Media oft der Fall, 
insbesondere wenn diese eine monopol- 
artige Stellung dadurch erlangen, dass 
ihre Nutzung durch die Nutzung der 
anderen potenziellen Kommunikations- 
partner zu einer faktischen Pflicht wird. 
Social Media sind für viele Menschen 
zur Sicherstellung ihrer Kommunika- 
tionsfähigkeit von so erheblicher Be- 
deutung, dass die denkbare Alternative 
- zur Vermeidung einer unzulässigen 
Datenverarbeitung, für die man verant- 
wortlich ist - von einer Nutzung ganz 
abzusehen, unzumutbar ist.’ Umge- 
kehrt ist es den Plattformanbietern zu- 
mutbar, den anderen Verantwortlichen 
die von diesen benötigten Informatio- 
nen zur Verfügung zu stellen. Auch die 
Anbieter selbst sind zur Bereitstellung 
dieser Informationen gegenüber den 
Betroffenen verpflichtet (Art. 12-15 DS- 
GVO). Gemäß der Rechenschaftspflicht 
nach Art. 5 Abs. 2 DSGVO obliegt es den 
Anbietern, diese Informationen vorzu- 
halten. 

Eine gemeinsame Verantwortlichkeit 
begründet denklogisch auch jenseits 
der Verpflichtung zum Abschluss einer 
Vereinbarung Kooperationspflichten, 


soweit die gemeinsame Verarbeitung 
tangiert ist.°' Dies kann immer dann re- 
levant werden, wenn Fragen der Recht- 
mäßigkeit einer Verarbeitung, die von 
der gemeinsamen Verantwortlichkeit 
erfasst wird, im Raum stehen. 

Kommt keine Vereinbarung zustande, 
weil eine Seite oder beide kein Interesse 
zeigen oder weil ein inhaltliches Einver- 
nehmen nicht herstellbar ist, so kann 
die Aufsichtsbehörde von ihren Befug- 
nissen nach Art. 58 DSGVO Gebrauch 
machen oder sie kann nach Art. 83 
Abs. 4 lit. a DSGVO ein Bußgeld bis zu 
10 Mio. Euro oder 2% des weltweit ge- 
tätigten Umsatzes pro Geschäftsjahr 
verhängen.°? Das Gleiche gilt, wenn die 
Vereinbarung nicht die in Art. 26 DSGVO 
geforderten Inhalte vorweist.° Entsteht 
durch das Fehlen einer (zureichenden) 
Vereinbarung ein Schaden für die Be- 
troffenen, so haften die Verantwortli- 
chen als Rechtsfolge nach Art. 82 Abs. 4 
DSGVO gesamtschuldnerisch.°* Sind von 
einer gemeinsamen Verantwortlichkeit 
mehrere Aufsichtsbehörden tangiert, so 
kann eine gemeinsame Kontrolle erfol- 
gen.” 

Ist eine gemeinsame Verantwortlich- 
keit tatsächlich begründet und wei- 
gert sich einer der Verantwortlichen, 
eine angemessene Vereinbarung zu 
schließen, wie kann dann ein anderer 
gemeinsam Verantwortlicher die Be- 
achtung des Art. 26 DSGVO durchset- 
zen? Bei einer solchen Weigerung ei- 
nes Verantwortlichen liegt wegen der 
gemeinsamen Festlegung von Mitteln 
und Zwecken einer dritte Personen be- 
treffenden Datenverarbeitung eine ver- 
tragsähnliche faktische Beziehung vor, 
die ein gesetzliches Schuldverhältnis 
und einen Anspruch gegen die weigern- 
de Stelle auf Abschluss der Vereinba- 
rung nach Art. 26 DSGVO begründet. Zur 
Schaffung der faktischen Grundlagen 
für den Abschluss der Vereinbarung so- 
wie zwecks Wahrnehmung der Pflichten 
als (gemeinsamer) Verantwortlicher, 
können von der sich weigernden Stelle 
die nötigen o. g. Informationen gericht- 
lich eingefordert werden. Zumindest 
eine entsprechende Klage ist in Bezug 
auf Facebook inzwischen anhängig.’‘ 
Der Abschluss der Vereinbarung bzw. die 
Bereitstellung der dafür nötigen Infor- 
mationen sind nicht vertretbare Hand- 
lungen der sich weigernden Stelle, die 


mit Zwangsgeld nach 8 888 Abs. 1 ZPO 
erzwungen werden können. 

Die gerichtliche Durchsetzung dieser 
Ansprüche erfolgt gemäß Art. 79 Abs. 2 
S. 1 DSGVO vor dem Gericht des Mit- 
gliedsstaates, in dem der sich weigern- 
de Verantwortliche eine Niederlassung 
hat.’’ Diese Regelung gilt nicht nur für 
Betroffene i. S. v. Art. 79 Abs. 1 DSGVO, 
sondern generell für verantwortliche 
Stellen. Offenkundig ist dies, wenn, was 
bei Social Media regelmäßig der Fallist, 
der Betroffene zugleich Verantwortli- 
cher in Bezug auf Drittdaten ist (s. 0. 
3). Dies gilt aber auch in den sonstigen 
Fällen. Gemäß ErwGr 147 DSGVO zielt 
die DSGVO darauf ab, vorrangige ein- 
heitliche Gerichtsstände festzulegen. 
Für den Innenausgleich zwischen zwei 
Verantwortlichen sollen die Gerichte 
zuständig sein, die auch für die Kla- 
ge eines Betroffenen wegen Rückgriff 
auf einen Verantwortlichen zuständig 
sind. 


5 Praxistest Facebook 


Die erste Reaktion von Facebook auf 
die neue Rechtslage gemäß DSGVO und 
EuGH-Rechtsprechung war, dass beides 
keinerlei direkte Auswirkungen haben 
würde und dass „bei Bedarf“ von Face- 
book die nötigen Ergänzungen vorge- 
nommen würden.’ Als der Druck der 
Öffentlichkeit und von einzelnen Fan- 
pagebetreibern größer wurde, veröffent- 
lichte Facebook eine Ergänzung der All- 
gemeinen Geschäftsbedingungen (AGB) 
in Form eines sog. „Controller Adden- 
dum”, also eines „Nachtrags“”.° Darin 
wird die gemeinsame Verantwortlichkeit 
auf die für die statistische Rückmeldung 
„Lnsights“ benötigten Daten beschränkt, 
die bei dem ULD-Verfahren eine Rolle 
spielten. Ansonsten sei Facebook „al- 
leinig verantwortlich für die Verarbei- 
tung solcher personenbezogenen Daten 
im Zusammenhang mit Seiten-Insights, 
die nicht unter diese Seiten-Insights- 
Ergänzung fallen”. Fanpagebetreiber 
hätten „kein Recht, die Offenlegung 
von im Zusammenhang mit Facebook- 
Produkten verarbeiteten personenbe- 
zogenen Daten von Facebook-Nutzern 
zu verlangen“. Die Fanpagebetreiber 
müssen zustimmen, „dass nur Facebook 
Ireland Entscheidungen hinsichtlich der 
Verarbeitung von Insights-Daten treffen 


DANA ® Datenschutz Nachrichten 1/2019 


und umsetzen kann“. Bei diesen geltend 
gemachte Betroffenenansprüche müss- 
ten „unverzüglich jedoch spätestens 
innerhalb von sieben Kalendertagen 
sämtliche relevanten Informationen” 
weitergeleitet werden. 

Facebook weigert sich also ausdrück- 
lich, mit den gemeinsam Verantwort- 
lichen Informationen auszutauschen. 
Ein Mitspracherecht bzgl. der gemein- 
samen Verarbeitung wird geleugnet. 
Die bereit zu stellenden Inhalte (s. o. 
4) werden nicht zur Verfügung gestellt. 
Die gemeinsame Verantwortlichkeit 
beschränkt sich auch nicht, wie Face- 
book behauptet, auf die Daten, die für 
Insights genutzt werden. Selbst bei der 
restriktivsten Auslegung der EuGH- 
Rechtsprechung erstreckt sie sich auf 
die Datenerhebung und Datenbereit- 
stellung an Facebook bzgl. aller In- 
halts- und Nutzungsdaten von Fanpage- 
Nutzenden. 

Die Problematik der personenbezo- 
genen Nutzerdaten mit Drittbezug 
wird von Facebook nicht thematisiert. 
Vielmehr schreibt das Unternehmen in 
seiner „Datenrichtlinie”: „Wir erfassen 
Informationen ... über die Personen 
oder Konten, mit denen du interagierst, 
und über die Zeit, Häufigkeit und Dau- 
er deiner Aktivitäten”.°' Konkrete Zwe- 
cke nennt Facebook nicht: „Diese ver- 
wenden wir beispielsweise, um dir und 
anderen dabei zu helfen, Personen zu 
finden, die du möglicherweise kennst, 
sowie für die anderen unten aufge- 
führten Zwecke“. Und dort heißt es: 
„Wir verwenden die uns zur Verfügung 
stehenden Informationen, um unsere 
Produkte bereitzustellen, also auch um 
Funktionen und Inhalte ... zu persona- 
lisieren und dir auf und außerhalb von 
Produkten Vorschläge zu unterbreiten. 
... Um personalisierte Produkte zu er- 
stellen, dieindividuell und für dich rele- 
vant sind, verwenden wir deine Verbin- 
dungen, Präferenzen, Interessen und 
Aktivitäten. Dies basiert auf den Daten, 
die wir von dir und anderen erfassen 
und erfahren (einschließlich jedweder 
von dir bereitgestellten Daten mit be- 
sonderem Schutz, für die du uns deine 
ausdrückliche Einwilligung gegeben 
hast); darauf, wie du unsere Produkte 
nutzt und mit ihnen interagierst, und 
auf den Personen, Orten oder Dingen, 
mit denen du auf und außerhalb von 
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unseren Produkten verbunden bzw. an 
denen du interessiert bist.” 

Letztlich werden für die Verarbeitung 
von Daten keinerlei Einschränkungen 
gemacht bzgl. Art der Daten, Art der 
Auswertung, Art der Nutzung und Zwe- 
cke, Art der Empfänger. Von einer wirk- 
samen Einwilligung zur Verarbeitung 
sensitiver Daten kann keine Rede sein. 
Dass eine gemeinsame Verantwortlich- 
keit mit den Nutzenden bestehen könn- 
te, ist nicht im Ansatz erkennbar. 


6 Schlussbemerkung 


Über die Konsequenzen gemeinsamer 
Verantwortlichkeit bei Social Media hat 
die Diskussion eben erst begonnen. 
Dies ist erstaunlich angesichts des Um- 
stands, dass der vom EuGH festgestellte 
rechtliche Rahmen spätestens seit 1995, 
also dem Inkrafttreten der europäischen 
Datenschutzrichtlinie besteht. Die Da- 
tenschutzaufsichtsbehörden haben das 
Thema seit gut zehn Jahren benannt, 
doch konnten sie bis heute die erkann- 
ten rechtlichen Schlussfolgerungen 
gegenüber den Social-Media-Anbietern 
nicht durchsetzen. Ob sich das künftig 
angesichts der katastrophalen perso- 
nellen Ausstattung der Datenschutz- 
aufsicht und des fehlenden politischen 
Rückhalts durch Regierungen und Öf- 
fentlichkeit mit der DSGVO ändern wird, 
muss leider bezweifelt werden. 

Der zu ziehende Schluss ist, dass die 
Verantwortungslosigkeit im Internet 
vorläufig fortgeschrieben wird. Dies darf 
nicht einmal auf kurze Sicht hingenom- 
men werden. Social Media im Internet 
sind eine grundrechtsintensive Sphäre. 
Durch eine weitere Verlagerung von im- 
mer mehr Aktivitäten ins Internet und 
insbesondere auf Social Media mit einer 
hohen Arbeitsteilung nehmen die Ver- 
antwortlichkeiten für grundrechtsre- 
levante Vorgänge zu. Werden die Ver- 
antwortlichen nicht zur Verantwortung 
gezogen, so bedeutet dies Fortführung 
der Anarchie - nicht im Sinne einer herr- 
schaftslosen digitalen Gesellschaft, son- 
dern im Sinne der Herrschaft der digital 
und ökonomisch Mächtigen. 

Verantwortungslosigkeit ist nicht 
zwangsläufig. Möglich ist auch, dass 
die datenschutzrechtliche Regulierung 
wirksam umgesetzt wird. Hierfür haben 
wir unabhängige Aufsichtsbehörden und 


unabhängige Gerichte. Diese können 
künftig schmerzhafte Bußgelder aus- 
sprechen. Letztlich wird es aber künftig 
nicht ohne klare Verbote und Unter- 
sagungen gehen. Damit die Behörden 
und Gerichte unabhängige und wirksa- 
me Entscheidungen treffen und auch 
deren Vollzug durchsetzen, benötigen 
sie die dafür nötigen Ressourcen und 
zugleich den nötige ideellen Rückhalt. 
Dafür bedarf es auch einer verstärkten 
Fortführung der Debatte über digitale 
Verantwortung - ethisch, rechtlich und 
technisch-organisatorisch. 
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Der Prominentenhack und Lehren daraus 


Social Media - sog. soziale Medien - 
lassen die Grenzen zwischen Privatem 
und Öffentlichem verschwinden - in vie- 
ler Hinsicht. Das Private eignet sich die 
Öffentlichkeit an. Es gilt aber auch die 
umgekehrte Aussage: Die Öffentlichkeit 
eignet sich das Private an - und wird 
dadurch schnell asozial. Für diese These 
gibt es schon abermillionen Beispiele. Ein 
Anschauliches war nun der Anfang 2019 
bekannt gewordene Prominentenhack. 


Das Jahr 2019 begann für 993 Promi- 
nente in Deutschland unerfreulich: Am 
03.01. wurde über Radio Berlin Bran- 
denburg (RBB) öffentlich bekannt, dass 
im Laufe des Dezembers persönliche Da- 
ten und parteiinterne Dokumente Hun- 
derter deutscher PolitikerInnen und an- 
derer Personen des öffentlichen Lebens 
in einem „Adventskalender“ über den 
Twitter-Account @_Orbit veröffentlicht 
worden sind. Der RBB war auf den Vor- 
gang aufmerksam geworden, als der 
Youtube-Star Simon Unge seinen mehr 
als 2 Mio. Followern mitgeteilt hatte, 
gehackt worden zu sein. Hinter den vir- 
tuellen Türchen des Accounts führten 
Links zu den Informationen, die auf 
dem Blogspot-Account von Orbiter und 
bei diversen Filehostern zu finden wa- 
ren. Zwar wurden keine politisch bri- 
santen Dokumente veröffentlicht, sehr 
wohl aber viele persönliche Dokumente 
wie Briefe, Rechnungen und Einzugser- 
mächtigungen. In den Archiven fanden 
sich teilweise Chats mit Familienmitglie- 
dern und Kreditkarteninformationen. 


- Betroffene 


Betroffen waren die Bundeskanzlerin 
Angela Merkel und der Bundespräsident 
Frank-Walter Steinmeier, Abgeordne- 
te aus dem Bundestag, die Parteichefs 
Christian Lindner, Andrea Nahles und 
Robert Habeck, die Bundesminister 
Jens Spahn und Heiko Maas, Abgeord- 
nete aus den Landtagen, aus dem Eu- 
ropaparlament und aus kommunalen 
Einrichtungen. Besonders abgesehen 
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hatte es der Hacker auf die Grünen, u.a. 
den Bundestagsabgeordneten Konstan- 
tin von Notz und besonders stark Par- 
teichef Habeck, dieser mit Bankdaten, 
Mailadresse, Familienfotos und Chats 
mit seiner Frau und seinen Söhnen. Von 
Eva von Angern, Landtagsabgeordnete 
der Linken in Sachsen-Anhalt, waren 
rund 200 private Dokumente ins Netz 
gestellt. Der Spiegel machte eine zah- 
lenmäßige Aufstellung nach Parteizu- 
gehörigkeit: CDU/CSU 425, SPD 318, 
Die Linke 112, Grüne 110, FDP 28. 

Betroffen waren aber auch Journa- 
listInnen, z. B. von ARD und ZDF, und 
Künstler, etwa Til Schweiger, Youtuber 
wie Gronkh, Rapper wie Sido, Marteria 
und K.1.Z., Komiker wie Nico Semsrott 
und Christian Ehring oder politische 
Aktivisten wie Jürgen Resch, Geschäfts- 
führer der sich für Dieselfahrverbote 
engagierenden Deutschen Umwelthilfe 
(DUH). Verschont geblieben sind rechte 
PolitikerInnen, etwa von der AfD. Von 
Jan Böhmermann wurden besonders 
umfangreiche Unterlagen veröffent- 
licht: Adressen, Bankdaten, Rechnun- 
gen, Fotos und Namen seiner Kinder. 
Böhmermann war schon zuvor Opfer 
von digitalen Übergriffen, nachdem 
er am 26.04.2018 in der ZDF-Sendung 
„Neo Magazin Royale” und auch auf 
YouTube ein Video veröffentlichte, das 
die rechte Netzaktion „Reconquista 
Germanica” angreift und zur digitalen 
Gegenbewegung „Reconquista Inter- 
net” aufrief. Der „Adventskalender” 
von Orbit enthielt mehr als 2.000 Links 
zu Dokumenten, allein zu Personen aus 
dem Politikbereich fanden sich rund 
8.000 E-Mail-Nachrichten, 35.000 Bil- 
der, 600 Videos, 4.000 PDF- und 1.600 
Word-Dokumente. 


- Coming out 


Bundesinnenminister Horst Seeho- 
fer (CSU) erklärte nach Bekanntwer- 
den der Leaks umgehend: „Es wird mit 
Hochdruck daran gearbeitet, den Ur- 
heber der Veröffentlichung ausfindig 


zu machen und den Zugriff auf die Da- 
ten schnellstmöglich zu unterbinden”. 
Tatsächlich forderte der für Twitter in 
Deutschland zuständige Datenschutz- 
beauftragte Johannes Caspar schon am 
nächsten Tag nach dem Bekanntwerden 
Twitter auf, die auf die privaten Infos 
von Politikern verweisenden, in einer 
Liste aufgeführten Links umgehend zu 
deaktivieren. Dies erfolgte in Bezug auf 
„Orbit“, zunächst aber nicht bzgl. der 
Retweets und Likes anderer Nutzender. 
Das Twitter-Konto @_Orbit hatte fast 
19.000 Follower. Der Account @_Orbit 
gehörte in der Vergangenheit dem You- 
Tuber Yannick Kromer, auch bekannt als 
Dezztroyz, der gut 190.000 Abonnent- 
Innen damit bespaßt hatte, dass er Mi- 
necraft-Spielende trollte und Videosvon 
den Aktionen veröffentlichte. Mai 2016 
scheint Dezztroyz die Kontrolle über das 
seit Anfang 2015 bestehende Twitter- 
Konto verloren zu haben. 

Auslöser der strafrechtlichen Ermitt- 
lungen war wohl, dass ein Mitarbeiter 
des ehemaligen SPD-Kanzlerkandidaten 
Martin Schulz der Polizei Aachen mit- 
teilte, Schulz seimehrfach von Fremden 
auf seiner vertraulichen Handynummer 
angerufen worden. Kurze Zeit später er- 
hielt das Büro der SPD-Fraktionschefin 
Andrea Nahles den Hinweis, dass von ihr 
private Daten im Internet zu finden sei- 
en. Eine Nachfrage des Büros ergab, dass 
Nahles bereits anonyme Anrufe erhalten 
hatte. Daraufhin bat am 03.01.2019 um 
22:40 ein führender Mitarbeiter von 
Nahles per Mail das Lagezentrum des 
Bundeskriminalamtes (BKA) in Wiesba- 
den um Aufklärung. 


- Ermittlungen 


In die Täterermittlung waren dann 
auch das Bundesamt für Sicherheit in 
der Informationstechnik (BSI), das 
Bundesamt für Verfassungsschutz (BfV) 
und die Bundespolizei einbezogen. Die 
Zentralstelle zur Bekämpfung der Inter- 
netkriminalität (ZIT) bei der General- 
staatsanwaltschaft Frankfurt am Main 
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übernahm die Leitung der Ermittlun- 
gen. Der Generalbundesanwalt leitete 
ein „Beobachtungsverfahren” ein. Des- 
sen Bundesanwaltschaft ist gefordert, 
wenn eine geheimdienstliche Agen- 
tentätigkeit zu vermuten ist. Auch der 
Bundesnachrichtendienst (BND) soll als 
Auslandsgeheimdienst in die laufen- 
den Untersuchungen involviert worden 
sein, da zunächst nicht ausgeschlossen 
wurde, dass z. B. russische Hacker hin- 
ter dem Angriff stehen. Die zentrale Ko- 
ordination der Ermittlungen übernahm 
das nationale Cyber-Abwehrzentrum. 

Dem BSI waren Vorgänge aus dem Hack 
bereits seit Wochen bekannt. Sein Präsi- 
dent, Arne Schönbohm, erklärte, dass 
man schon sehr frühzeitig im Dezember 
mit einzelnen betroffenen Abgeordneten 
dementsprechend gesprochen hätte. In 
den vergangenen Monaten hatten sich 
sieben Bundestagsabgeordnete beim BSI 
mit vergleichbaren Vorgängen gemeldet. 
Es seien Gegenmaßnahmen eingeleitet 
worden. Unter anderem sei ein Spezial- 
team für Hilfestellungen bei Betroffenen 
(Mobile Incident Response Team) losge- 
schickt worden: „Von daher gab es schon 
frühzeitig bestimmte Aktionen.” Burk- 
hard Lischka, der innenpolitische Spre- 
cher der SPD-Bundestagsfraktion zeigte 
sich beunruhigt über das Eingeständnis 
des BSI: „Sollte sich herausstellen, dass 
das BSI schon vor Wochen von Veröffent- 
lichungen gehackter Daten wusste, ohne 
die anderen Sicherheitsbehörden zu in- 
formieren, ist dies vollkommen inakzep- 
tabel und wirft kein qutes Licht auf die 
Zusammenarbeit unserer Sicherheitsbe- 
hörden im Bereich der Cybersicherheit.” 
Das BKA erklärte, erst zeitgleich mit den 
Medienberichten von dem Vorgang er- 
fahren zu haben. 

Schnell ergab sich, dass die geklau- 
ten Daten aus verschiedenen Hacks von 
Konten der Betroffenen etwa auf der 
Amazon-Cloud, Facebook oder Twitter 
stammen und mit viel Fleißarbeit zu- 
sammengetragen wurden. Zumeist ver- 
öffentlichte Orbit Telefonnummern und 
private Anschriften. Von 14 Personen 
war es sehr viel mehr, darunter Chats, 
Bankkontodaten, Ausweiskopien, E- 
Mails und private Fotos. Bei 44 Nutzen- 
den hatte er offenbar Zugriff auf das 
Facebook-Konto. Zum Teil nutzte Orbit 
offenbar Sicherheitslücken, die die Be- 
troffenen selbst mit verursacht hatten. 
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Teilweise gelangte er an Daten über An- 
gehörige oder Freunde. Die Kopie aus 
dem Familienchat von Robert Habeck 
stammte offenbar aus dem Facebook- 
Account seiner Frau, deren E-Mail-Ad- 
resse wiederum knapp ein Jahr zuvor 
in einer Liste vom 80 Mio. Log-in-Daten 
auftauchte, die Unbekannte ins Netz 
gestellt hatten. 


- Ermittlungserfolg 


Die entscheidenden Hinweise auf 
den Promi-Hacker Orbit lieferte dann 
offenbar der 19-jährige IT-Experte Jan 
Schürlein. Die Wohnung Schürleins war 
von Strafverfolgern durchsucht worden, 
nachdem er öffentlich zu Protokoll ge- 
geben hatte, dass er wisse, wer der Ur- 
heber des Datenskandals sei. Schürlein 
hatte das BKA auch auf die Fährte eines 
anderen Ermittlungsverfahrens gegen 
Orbit aus dem Jahr 2016 gebracht. Da- 
mals war Orbit demnach unter dem Pseu- 
donym NullrOuter unterwegs. Er nannte 
sich an anderer Stelleauch „God“. Weiter 
werden ihm die Spitznamen dennis 567 
und rO00Otaccess zugeschrieben. Durch 
das alte Ermittlungsverfahren sollte es 
den Beamten leicht gefallen sein, Orbit 
aufzuspüren. Denn 2016 hatte er seine 
IP-Adresse und damit den Internetan- 
schluss seiner Eltern verraten. 

Schürlein hatte den Täter über Twitter 
kennengelernt. Als Teil der Security- 
Szene rund um YouTube und Gamer- 
Chatnetzwerke wie Discord seien ihm 
dessen Doxing-Aktionen und die Ac- 
count-Übernahme von Orbit schon vor 
Jahren aufgefallen. Er habe über die 
Jahre immer wieder Kontakt mit dem 
Hacker gehabt. Er habe seine Informa- 
tionen über Orbit den Strafverfolgern 
nur preisgegeben, weil er keine andere 
Wahl gehabt habe. Ein Bekannter habe 
das BKA daraufhingewiesen, dass er mit 
dem Hacker in Kontakt stehe. 

Am Sonntagmittag, dem 06.01.2018, 
war gemäß BKA-Angaben der mut- 
maßliche Täter des Hackings identifi- 
ziert. In den Medien wird er Johannes 
S. genannt. Es handelt sich um einen 
20jährigen Mann aus Homberg (Ohm) 
in Mittelhessen, einen Computerfan 
und Technikfreak, der sich sozusagen 
im Selbststudium neben der Schule zu 
einem Hacker entwickelte und von sei- 
nem Kinderzimmer aus seine Aktionen 


durchführte. Angesichts der öffent- 
lichen Aufregung, die er mit seinem 
Doxing verursachte, hatte er es schon 
mit der Angst zu tun bekommen und 
versucht, zumindest einen seiner inkri- 
minierenden Datenträger zu vernich- 
ten. Die Polizei hat diesen sichergestellt 
und versucht, die Daten wieder herzu- 
stellen. Die Fahnder äußerten den Ein- 
druck, dass dem jungen, geständigen 
Mann die Reichweite seines Tuns lange 
Zeit nicht bewusst war. Erst als die Poli- 
zei auftauchte, ihn kurzzeitig festnahm 
und die elterliche Wohnung durchsuch- 
te, sei ihm klargeworden, was er getan 
hat. Eine Flucht- oder Verdunkelungs- 
gefahr sahen die Ermittler nicht. Als 
Motiv soll der junge Mann angegeben 
haben, er habe sich über Äußerungen 
von Politikern geärgert. 

Innenminister Seehofer präsentier- 
te - eingerahmt von BKA-Chef Holger 
Münch und BSI-Chef Arne Schönbohm - 
stolz das schnelle Ermittlungsergebnis. 
Die Bundesregierung prüfe nun unter 
anderem die Schaffung eines Frühwarn- 
systems in Verbindung mit einer rund 
um die Uhr einsetzbaren Crew im BSI. 
Der Gesetzentwurf für ein zweites IT-Si- 
cherheitsgesetz soll bald fertig werden. 
Ein Eckpunktepapier aus Oktober 2018 
sieht vor, das BSI im Verbraucherschutz 
zu stärken und seine Möglichkeiten 
zum Schutz von Wahlen auszuweiten. 
Providern sollen zusätzliche Informa- 
tionspflichten gegenüber ihren Kun- 
dInnen auferlegt werden. Das BSI soll 
in besonderen Gefahrenlagen ein Wei- 
sungsrecht gegenüber Wirtschaftsun- 
ternehmen erhalten. Zudem wolle man 
die Menschen verstärkt über Gefahren 
im Netz aufklären. Deutlich mehr Stel- 
len bei BKA und BSI seien bereits vom 
Bundestag bewilligt. 


- Der Täter 


Für die Staatsanwaltschaft Gießen 
war Johannes S. kein Unbekannter. 
Sie hatte in den vergangenen Jahren 
drei Ermittlungsverfahren gegen ihn 
eingeleitet, u. a. wegen des Verdachts 
des Ausspähens von Daten und der Fäl- 
schung beweiserheblicher Daten. Alle 
drei Verfahren sind noch nicht abge- 
schlossen. Die Akten hat nun die Ge- 
neralstaatsanwaltschaft Frankfurt am 
Main übernommen. 
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Die Ermittler unterstellen Orbit keine 
politische Motivation. In der Youtube- 
Szene ist er schon lange präsent. Der 
28jährige Youtuber Thomas Hackner 
hatte mit Orbit seit 2015 Kontakt und 
schildert ihn zunächst als „sehr zurück- 
haltend und vor allem sehr jung. Erwollte 
mit seinen Erfolgen prahlen“. Der 18jäh- 
rige Levi Pennel will ihn ebenfalls ken- 
nengelernt haben und beschreibt ihn wie 
folgt: „Zuletzt hat er sich politisch in eine 
immer rechtsradikalere Richtung entwi- 
ckelt und sich immer stärker politisiert. 
Während anfangs noch lediglich kleine- 
re Ziele das Opfer waren und das Motiv 
meist Aufmerksamkeit, mischte sich 
mit der Zeit immer mehr eine politische 
Komponente dazu.” Johannes S. soll vor 
allem von „Die vulgäre Analyse” beein- 
flusst worden sein, einem Kanal eines 
YouTubers, der mit Islamhass besonders 
auffällt und der sich in seinen Videos 
bereits mit einigen der Opfern des jüngs- 
ten Datenklaus befasst hatte. In den 
Kommentarspalten des Kanals mischten 
Führungspersonen der rechtsextremen 
„Ldentitären Bewegung” mit. 

Ein Hinweis des Verfassungsschut- 
zes soll bei der schnellen Identifizie- 
rung geholfen haben. S. erwies sich als 
ein ziemlicher Schwätzer; Spuren von 
ihm fanden sich in zahlreichen Foren. 
Gegenüber der Justiz behauptet der 
20-Jährige noch immer, allein gehan- 
delt zu haben. Als BKA-Beamte ihm aber 
einen Computer zuschoben und auffor- 
derten, doch einmal zu zeigen, wie er 
das gemacht habe, scheiterte S. Die Er- 
mittlungen gehen weiter. 


Reaktionen 
- Politik 


Der stellvertretende Vorsitzende der 
SPD-Fraktion, Carsten Schneider, be- 
tonte, der demokratische Wettbewerb 
lasse sich nicht „durch aufillegale Weise 
gewonnene persönliche Daten kompro- 
mittieren”: „Die IT-Infrastruktur der 
SPD-Bundestagsfraktion selbst ist nicht 
betroffen.” Man habe Sicherheitsmaß- 
nahmen eingeleitet, „um den Schutz 
der Kommunikation und die Funktions- 
fähigkeit der parlamentarischen Arbeit 
zu gewährleisten”. Bundesjustizminis- 
terin Katarina Barley verurteilte umge- 
hend das Vorgehen des noch unbekann- 
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ten Cyberkriminellen auf Twitter als ei- 
nen „schwerwiegenden Angriff auf das 
Recht auf Privatsphäre und damit einen 
Grundpfeiler unserer Demokratie”. Die 
Urheber wollten Vertrauen in den libe- 
ralen Rechtsstaat und seine Institutio- 
nen beschädigen: „Kriminelle und ihre 
Hintermänner dürfen keine Debatten in 
unserem Land bestimmen.” 

Jan Philipp Albrecht, ehemaliger EU- 
Parlamentarier und nun für Digitales 
zuständiger Minister in Schleswig-Hol- 
stein erklärte: „Für die Betroffenen ist 
das aktuelle Leak ein tiefer Eingriff und 
teilweise eine Gefährdung bis ins famili- 
äre Umfeld”. Der Vorfall zeige, wie groß 
die Sicherheitslücken bei IT-Kommu- 
nikationsdiensten noch immer seien: 
„Hier haben Bundesregierung und EU- 
Kommission viel zu lange gepennt und 
dem Druck der Internetanbieter nach- 
gegeben”. 

Jan Korte, Geschäftsführer der Links- 
fraktion, erklärte: „Wer private Angaben 
von Personen veröffentlicht, nimmt de- 
ren Gefährdung billigend in Kauf, und 
dagegen müssen wir uns gemeinsam 
wehren”. Die linke Digitalexpertin Anke 
Domscheit-Berg ergänzte, der Hack 
sei „eine Folge der vernetzten Gesell- 
schaft“. Das schwächste Glied in einer 
Kette müsse dabei gar nicht „der Promi 
oder Politiker selbst sein“. In Frage kä- 
men auch Dritte, auf deren Adressbuch 
im Smartphone oder Plattformen bis 
hin zum Sexshop jemand Zugriff er- 
langt hat. Der linke Abgeordnete Die- 
ther Dehm warnte davor, vorschnell 
Russland zu verdächtigen. Sollte „von 
den üblichen Medienagenten” Wladimir 
Putin für den Hackerangriff verantwort- 
lich gemacht werden, werde er seinen 
zunächst gestellten Strafantrag gegen 
Unbekannt zurückziehen. 

Der Vorsitzende des Bundestags- 
ausschusses Digitale Agenda, Jimmy 
Schulz (FDP), prognostizierte: „Diese 
Art der Hackerangriffe und Datenleaks 
sind leider kein Novum mehr und wird 
esin Zukunft öfter geben. Gerade weil es 
eine der zentralen staatlichen Aufgaben 
ist, die Privatsphäre der Menschen zu 
schützen, müssen wir dies zum Anlass 
nehmen, uns fraktionsübergreifend für 
die IT-Sicherheit Deutschlands einzu- 
setzen.” Die Liberalen hätten bereits ei- 
nen Antrag zum „Recht auf Verschlüsse- 
lung” ins Parlament eingebracht. Darü- 


ber hinaus dürfte der Staat selbst „nicht 
an der Schwächung der IT-Sicherheit 
arbeiten”. 

Patrick Breyer, Spitzenkandidat der 
Piratenpartei zur Europawahl, mein- 
te, dass es unverantwortlich sei, dass 
selbst prominente Bundespolitiker ihre 
Gesprächspartner großen US-amerika- 
nischen Digitalkonzernen auslieferten. 
Der Bundestag müsse jetzt dringend 
einen „Verhaltenskodex zum Schutz der 
Sicherheit mandatsbedingter Kontakte” 
ausarbeiten. 

Die von den Hacks nicht betroffene 
AfD äußerte sich - soweit erkennbar - 
offiziell nicht zu den Hacks. 


- IT-Sicherheit 


Norbert Pohlmann, Vorstand für IT- 
Sicherheit beim eco-Verband der Inter- 
netwirtschaft, appellierte an die Bundes- 
regierung, „die Entwicklung und Verbrei- 
tung einfach anwendbarer Verschlüsse- 
lungstechnologien stärker zu fördern 
und voranzutreiben”. Von Maßnahmen 
wie Backdoors, Zero Day Exploits und 
Staatstrojaner müssten die Politik und 
die Behörden dagegen „entschieden Ab- 
stand nehmen“, da sie den Aufbau siche- 
rer IT-Systeme unterwanderten. Für Mi- 
chael Littger von der Initiative „Deutsch- 
land sicher im Netz” zeigte die Attacke 
„den Nachholbedarf beim Thema digitale 
Aufklärung” auf. Es müsse darum ge- 
hen, „digitale Kompetenzen in allen Le- 
bensbereichen zu verankern“. Einfache 
Schutzfähigkeiten reichten, „umrund 90 
Prozent der Cyberangriffe abzuwehren”. 

BSI-Chef Schönbohm machte deutlich, 
dass bei der Abwehr solcher Angriffe 
noch einiges zu tun sei: „Es ist ein kon- 
tinuierlicher Prozess. Und da werden wir 
alle gemeinsam - Staat, Wirtschaft und 
Gesellschaft - noch besser werden müs- 
sen, um es den Angreifern schwieriger zu 
machen.” Es gelte aber der Illusion einer 
völligen Sicherheit vorzubeugen: „Dasist 
ein normales Einhergehen mit der Digi- 
talisierung, dass wir immer wieder auch 
erfolgreiche Angriffe haben. Wir haben 
auch jeden Tag eine Vielzahl von Woh- 
nungseinbrüchen.” 


Politische Forderungen 


Die Grünen im Bundestag beantrag- 
ten umgehend eine Sondersitzung der 
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Kommission für den Einsatz neuer In- 
formations- und Kommunikationstech- 
niken sowie des Innenausschusses des 
Bundestags. Fraktionsvize Konstantin 
von Notz erklärte: „Wir brauchen end- 
lich echte proaktive Maßnahmen zur 
Erhöhung der IT-Sicherheit. Dazu ge- 
hören unter anderem ein Verzicht auf 
den staatlichen Handel mit Sicherheits- 
lücken, durchgehende Ende-zu-Ende- 
Verschlüsselungen und die Stärkung 
unabhängiger Aufsichtsstrukturen.” 

Die SPD-Netzpolitikerin Saskia Esken 
forderte einen bewussteren Umgang 
mit Passwörtern und mehr Verschlüs- 
selung. Das Bundesinnenministerium 
müsse eine „Plakatkampagne zur IT-Si- 
cherheit” durchführen. Die Gesellschaft 
müsse lernen, besser mit Desinformati- 
onsstrategien im Netz umzugehen, um 
„resilient zu bleiben”. Die von der Re- 
gierung erörterten „Hackbacks” bräch- 
ten dagegen nichts. 

Der Cyber-Sicherheitsrat Deutsch- 
land mahnte als Konsequenz aus dem 
Hackerangriff einen Ausbau der Cyber- 
Abwehrkapazitäten an. Ziel müsse sein, 
Angriffe schneller zu entdecken sowie 
Cyberkriminelle effektiv zu identifizieren 
und strafrechtlich verfolgen zu können. 
Gemäß dem Präsidenten Wilhelm Dünn 
zeigt der Vorfall, wie akut und ernst die 
Gefahren aus dem Cyberraum sind. Nicht 
nur für die Wirtschaft, sondern auch ge- 
genüber politischen Systemen - insbe- 
sondere Demokratien - und der Gesell- 
schaft könne die voranschreitende, welt- 
weite Vernetzung für solche Kampagnen 
missbraucht werden und großen Scha- 
den anrichten. Betreiber von Instant- 
Messaging- und Mikroblogging-Plattfor- 
men sowie sozialen Netzen müssten sich 
stärker für die Unterbindung derartiger 
schmutziger Aktionen einsetzen. Das 
seit dem 01.01.2018 in Kraft befindliche 
Netzwerkdurchsetzungsgesetz müsse 
entsprechend überarbeitet und erweitert 
werden. Eine Art Frihwarnmechanismus 
sei wünschenswert. 

Bundesjustizministerin Katarina Bar- 
ley (SPD) brachte die eben per Gesetz 
eingeführte Verbraucher-Musterklage 
gegen Twitter und Facebook ins Ge- 
spräch: „Sollten im Zusammenhang mit 
dem Datenleak Haftungsansprüche ge- 
gen Unternehmen bestehen, könnten 
betroffene Verbraucher sie gemeinsam 
im Rahmen einer Musterfeststellungs- 
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klage geltend machen.” Durch eine 
solche Klage könnte überprüft werden, 
ob ein Internetkonzern alles in seiner 
Macht Stehende getan hat, um Schäden 
abzuwenden. 

Der Chef der CDU-Bundestagsfraktion 
Ralph Brinkhaus plädierte für härtere 
Strafen. Bislang könne das sogenann- 
te Ausspähen von Daten mit Freiheits- 
strafe von maximal drei Jahren geahn- 
det werden: „Wir sollten prüfen, das 
Strafmaß bei schweren Cyberdelikten 
anzuheben.” Thomas Tschersich, seit 
2014 Leiter Cybersicherheit bei der 
Deutschen Telekom, kritisierte: „Viele 
Gerichte behandeln den digitalen Ein- 
bruch immer noch wie ein Kavaliersde- 
likt”. Viele Menschen speicherten auf 
ihren Computern Informationen, die 
wertvoller seien als die Gegenstände in 
ihrer Wohnung: „Also sollte der digitale 
Einbruch genauso hart bestraft werden 
wie der tatsächliche Wohnungsein- 
bruch.” Leider fehle bei vielen Richtern 
das nötige IT-Wissen; hier seien drin- 
gend Nachschulungen und ein gemein- 
samer Wissensaustausch nötig. Der Grü- 
ne Konstantin von Notz erklärte unter 
Hinweis darauf, dass Hackerangriffe auf 
Abgeordnete, JournalistInnen und Per- 
sonen des öffentlichen Lebens ein An- 
griff auf die Demokratie seien: „Es lohnt 
sich deshalb, darüber nachzudenken, 
ob es sinnvoll wäre, auf solche Angriffe 
mit besonderer Strenge zu reagieren.” 
SPD-Innenpolitiker Burkhard Lischka 
meinte dagegen, statt schärferer Geset- 
ze halte er es für sinnvoller, die zersplit- 
terten Zuständigkeiten bei der Abwehr 
von Cyberkriminalität zu einen. 


- Offizielle erste Reaktionen 


Die Cyber-Abwehr in Deutschland soll 
schon länger reformiert werden. Als 
die Aufregung um den Hackerangriff 
auf deutsche Prominente auf ihrem 
Höhepunkt war, meldete sich der par- 
lamentarische Staatssekretär im Bun- 
desinnenministerium Stephan Mayer zu 
Wort. Man sei entschlossen, das Cyber- 
Abwehrzentrum in Bonn schnell zu re- 
formieren, auszubauen, schlagkräftiger 
zu machen. Der Auftrag für eine solche 
Reform, für ein „Cyber-Abwehrzentrum 
plus“, stammt bereits aus dem Jahr 
2015. Außer einer Reihe von Sitzungen 
und dem Austausch von immer neuen 


Konzepten war bisher nicht viel gesche- 
hen. Die dort sitzenden neun Behörden 
- darunter das BKA, das BSI und das BfV 
- taten sich schwer, sich zu einigen. Die 
digitale Wacht am Rhein funktioniert 
bisher nicht gut genug. Es gibt nicht 
einmal einen Dienst rund um die Uhr. 

Nun soll es schnell gehen. Das Innen- 
ministerium macht Druck, Spitzentref- 
fen sind anberaumt. Um die zersplitter- 
ten Zuständigkeiten in der Cyber-Ab- 
wehr zu bündeln, will man sich an einem 
Vorbild orientieren: am Gemeinsamen 
Terrorismusabwehrzentrum (GTAZ) in 
Berlin. Ohne formalen Leiter, organi- 
siert in verschiedenen Arbeitsgruppen, 
in denen unterschiedliche Behörden 
den Vorsitz führen, hat das GTAZ es of- 
fenbar geschafft, eine gute Zusammen- 
arbeit zwischen zuvor mauernden oder 
aufihre eigene Zuständigkeit bestehen- 
den Polizei- und Geheimdienstbehör- 
den zu organisieren. 

BSI-Präsident Schönbohm und sein 
BKA-Kollege Münch gehören zu den Be- 
fürwortern eines solchen Cyber-GTAZ: 
Die Geschäftsführung würde danach 
wie bisher beim BSI bleiben, dessen Ex- 
pertInnen wären zuständig für Lagebe- 
urteilung und technisches Know-how. 
Gestärkt würde vor allem die „operative 
Komponente“. Notwendige Ermittlun- 
gen würde das BKA übernehmen; die 
Landeskriminalämter sollen eingebun- 
den werden. Ebenso würde der Verfas- 
sungsschutz vorgehen; die Länder sä- 
ßen mit am Tisch. 

Bis heute gibt es keine gemeinsame 
Datenbank, in der Cybervorfälle regis- 
triert werden. Muster von Angriffen zu 
erkennen, um dann frühzeitig zu re- 
agieren, macht dies fast unmöglich. Im 
Internet gibt es keine Staatsgrenzen, 
die Bedrohungen reichen von gewöhn- 
licher Kriminalität über Wirtschaftsspi- 
onage bis hin zur Bedrohung von Strom- 
und Wasserversorgung oder Atomkraft- 
werken. Eigentlich gibt es genau hierfür 
seit 2011 das Cyber-Abwehrzentrum 
in Bonn. Die dort eingesetzten Exper- 
tInnen gelten als erstklassig, doch die 
Strukturen sind wenig befriedigend. 
Drei Jahre nach der Gründung kritisier- 
te der Rechnungshof, das Konzept sei 
„nicht geeignet, die über die Behörden- 
landschaft verteilten Zuständigkeiten 
und Fähigkeiten bei der Abwehr von An- 
griffen aus dem Cyberraum zu bündeln”. 
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Manche der dort eingesetzten Behörden 
schickten nicht einmal einen Vertreter 
zur täglichen Lagebesprechung. Kurz 
darauf kam der Auftrag für die Reform. 

In internen Analysen heißt es, der für 
„den Staat, die Wirtschaft und die Bürge- 
rinnen und Bürger erreichte Status quo” 
sei „nicht ausreichend”. Als im Februar 
2018 bekannt wurde, dass mutmaßlich 
russische Hacker in das Regierungsnetz 
eingedrungen waren, wusste das BSI Be- 
scheid. Im Cyber-Abwehrzentrum aber 
war das am Tisch sitzende BKA nicht 
informiert worden. Dass sich nun eine 
Attacke gegen so viele PolitikerInnen 
gerichtet hat, löste im politischen Ber- 
lin Besorgnis aus. Manche Spitzenpoli- 
tikerInnen hatten über viele Jahre ihre 
Telefonnummern nicht gewechselt; dies 
wurde jetzt nötig. Der Rufnach einer bes- 
seren Cyberabwehr ist laut. 

Eine vom BKA eingesetzte Sonder- 
kommission („Liste“) ist nun dabei, die 
einzelnen Vorgänge nach ihrer Bedeu- 
tung zu gewichten. Die Länder wollten 
dem BKA nicht die alleinige Ermitt- 
lungskompetenz zugestehen. Alle Lan- 
deskriminalämter versehen die Fälle 
der Betroffenen mit einer Priorität. Wo 
der mutmaßliche Täter Johannes S. nur 
öffentlich zugängliche Daten sammel- 
te und veröffentlichte, kommt für eine 
Strafverfolgung wohl „nur“ ein Verstoß 
gegen das Datenschutzgesetz in Be- 
tracht. Die Ermittlungen konzentrieren 
sich auf die „ernsten Vorgänge”, um die 
wegen des Verdachts des Ausspähens 
von Daten und der Datenhehlerei lau- 
fenden Ermittlungen voranzutreiben. 
Computer und Telefone könnten, sofern 
die Opfer zustimmen, forensisch unter- 
sucht werden. 


Persönliche Konsequenzen 


Den Bundesvorsitzenden von Bündnis 
90/Die Grünen, Robert Habeck, hat es 
besonders getroffen: „Das ist, als wenn 
jemand in deinen Tagebüchern stöbert. 
Das zeigt auch, wie verletzlich wir sind.” 
Er macht sich Sorgen um seine Familie: 
„Ständig klingelte das Telefon, das war 
wirklich nicht cool“. Er teilte mit, dass 
er als eine Konsequenz auf den Daten- 
klau seine Accounts auf Twitter und Fa- 
cebook löscht. Einen Fehler könne man 
einmal machen, erklärt er nach einem 
von ihm als misslungenen bewerteten 
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Eintrag auf Twitter; mit dem er eine 
vergleichbare Äußerung im Landtags- 
wahlkampf in Bayern wiederholte: „Wie 
um alles in der Welt konnte mir so was 
passieren?” Bei seiner Analyse sei er zu 
dem Schluss gekommen, dass er sich je- 
weils „unbewusst auf die polemische Art 
von Twitter eingestellt habe“. Twitter sei 
„wie kein anderes digitales Medium so 
aggressiv und in keinem anderen Me- 
dium gibt es so viel Hass, Böswilligkeit 
und Hetze“. Offenbar werde auch er 
dadurch aggressiver, lauter und zuge- 
spitzter, ohne den Raum zum Nachden- 
ken. Gleichzeitig desorientiere ihn der 
Kurznachrichtendienst und mache ihn 
unkonzentriert, wenn er dort nach Re- 
aktionen auf seine Auftritte suche. 


Eine Einstufung 
- Doxing 


Mit dem Hack wurde ein Begriff po- 
pulär: Doxing (auch Doxxing, abgelei- 
tete von „doc“ Abkürzung für englisch 
„documents”) ist das internetbasierte 
Zusammentragen und anschließende 
böswillige Veröffentlichen personenbe- 
zogener Daten. Eine Person veröffent- 
licht strategisch eine Sammlung pri- 
vater Daten über einen Kontrahenten, 
vom bürgerlichen Namen über amtliche 
Dokumente bis zu Fotos und Chatver- 
läufen und intimen Details. Mit dem ak- 
tuellen Veröffentlichen privater Daten 
von PolitikerInnen, Prominenten und 
JournalistInnen erreichte diese Ha- 
cker-Waffe endgültig den Mainstream. 
Vom Mittel der Wahl in privaten Fehden 
im Netz ist Doxing zur politischen Waf- 
fe geworden. Die digitalen Angreifer 
sammeln die Informationen aus öffent- 
lichen Quellen, etwa per Google-Suche, 
in alten Foreneinträgen oder Archiven, 
in denen Webseiten zu verschiedenen 
Zeitpunkten gespeichert werden, aber 
auch mit Hacks gegen ungenügend 
gesicherte E-Mail- oder Social-Media- 
Konten. Die Daten veröffentlichen sie 
dann anonym oder pseudonym auf spe- 
ziellen Upload-Diensten wie Pastebin. 
So liegen Teile des Privatlebens eines 
Menschen für alle zum Download be- 
reit. Wer die Privatadresse einer Person 
kennt, kann ihr alles - von Pizza bis zu 
Sexspielzeug - liefern lassen. Wer ein 
intimes Bild hat, kann damit Porno- 


Fotomontagen basteln und verbreiten. 
Mit Kreditkartendaten lässt sich auf 
Kosten der Betroffenen einkaufen. 

Opfer waren bisher besonders Frau- 
en, vor allem, wenn sie sich für Frauen- 
rechte einsetzten. Nach dem Hack ihres 
Dropbox-Kontos und anderer Accounts 
musste die amerikanische Spiele-Pro- 
grammiererin Zoe Quinn 2014 monate- 
lang eine organisierte Hasskampagne 
erdulden, die fast ihr Leben zerstörte. 
Die Frauenfeinde in der Gaming-Szene 
hatten zur Jagd auf sie geblasen. Nackt- 
fotos aus Quinns zurückliegender Mo- 
del-Karriere wurden verbreitet, ihr Te- 
lefon klingelte ständig, sie wurde nach 
eigenen Angaben mit Vergewaltigungs- 
drohungen überzogen. 

Das BKA erklärte den betroffenen 
Bundestagsabgeordneten aus aktuel- 
lem Anlass in einem Schreiben: „Grund- 
sätzlich stellt die Veröffentlichung von 
geleakten Listen kein Novum dar. Derar- 
tiges Vorgehen wird seit Jahren genutzt, 
nicht zuletzt um die betroffenen Perso- 
nen zu verunsichern.” So waren in den 
vergangenen Tagen auch AktivistInnen, 
die sich gegen Rechtsextremismus ein- 
setzen, damit beschäftigt, die Verbrei- 
tung einer „schwarzen Liste“ im Netz 
einzudämmen. Auf ihr stehen Namen, 
Adressen, Telefonnummern und E-Mails 
von mehr als zweihundert aktiven Per- 
sonen. Manche Namen sind mit auslän- 
derfeindlichen und homophoben Belei- 
digungen versehen und deuten darauf 
hin, dass Rechte die Liste hochgeladen 
haben. Auch die Namen von Teilneh- 
menden eines AfD-Parteitages landeten 
schon im Netz. 

Doxing kann leicht zur Selbstjustiz 
werden. Das Hacker-Kollektiv Anony- 
mous setzte die Taktik Mitte des vergan- 
genen Jahrzehnts gegen Rechtsradikale 
und Pädophile und in ihrem Kreuzzug 
gegen Scientology ein. Und nach der 
Gewalt zwischen Neonazis und Gegen- 
demonstrantInnen in Charlottesville 
2017 riefen Linke in den USA: „Dox a 
Nazi every day.” Ihre Argumentation: 
Wer eine menschenverachtende Einstel- 
lung habe, der könne nicht auf Privat- 
sphäre pochen. 

Die AktionskünstlerInnen vom „Zen- 
trum für politische Schönheit” spiel- 
ten mit der Furcht vor dem digitalen 
Pranger, als sie 2018 auf einer Webseite 
vermeintlich Teilnehmende der Neona- 


15 


zi-Demo in Chemnitz enthüllten. Kurz 
darauf stellten sie die Aktion allerdings 
als Falle dar: Sie hätten kaum selbst In- 
formationen gehabt, sondern hätten 
nur die Namen jener Rechten abgreifen 
wollen, die nun panisch auf der Web- 
seite des „Zentrums“ nach sich selbst 
suchten. 

In rechten Foren kursieren Kontakt- 
listen angeblicher Mitglieder der Antifa. 
Kurz nach Bekanntwerden des Promi- 
Doxings wurden dort 200 Namen und 
Adressen von PolitikerInnen, Künstle- 
rInnen und AktivistInnen, die für eine 
liberale Haltung in der Flüchtlingsfrage 
stehen, unter dem Motto „Wir kriegen 
Euch alle” veröffentlicht. 


- Schlimm? Was tun? 


Laut einer repräsentativen Umfrage 
des Branchenverbands Bitkom war im 
Jahr 2018 jeder zweite Internetnutzen- 
de Opfer von Cyberkriminellen. Am häu- 
figsten klagten die Betroffenen über die 
illegale Verwendung ihrer persönlichen 
Daten oder die Weitergabe der Daten an 
Dritte. Die meisten Menschen bewerten 
Daten- und Identitätsklau nach Ein- 
schätzung von Sven Herpig von der Stif- 
tung Neue Verantwortung als „Kavaliers- 
delikt”: „Die wenigsten begreifen es als 
eine Straftat, die man anzeigen sollte.” 

Wer gedoxt wird, kann versuchen, die 
Plattformen zu informieren, auf denen 
das Material aufgetaucht ist. Seit 2015 
können Nutzer auf Twitter das „Posten 
von privaten und vertraulichen Infor- 
mationen anderer Personen” als Miss- 
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brauch melden und zumindest auf eine 
schnelle Reaktion des Netzwerks hof- 
fen. Zahlen gibt das Unternehmen bis- 
her auch auf Anfrage nicht heraus. 

Richtig ist - wenn ein Cyberangriff 
über das für Internetuser täglich übliche 
Maß hinausgeht - das Informieren der 
Polizei. Dabei sollten die elektronischen 
Spuren so gesichert werden, dass sie 
keinen weiteren Schaden anrichten kön- 
nen, und an die Polizei weitergegeben 
werden. Bestehen valide Ansätze für eine 
Zuordnung einer Verantwortlichkeit für 
einen Angriff, so solltein jedem Fall auch 
die zuständige Datenschutzaufsicht ein- 
geschaltet werden und zudem über sons- 
tige Maßnahmen, insbesondere auch die 
Einschaltung der Strafverfolgungsbehör- 
den nachgedacht werden. 

Wegen der Massenhaftigkeit von Cyber- 
kriminalität wie Identitätsklau und Ruf- 
schädigungen im Netz ist es für staatliche 
Stellen derzeit und absehbar objektiv 
nicht möglich, alle versuchten Angriffe 
zu verfolgen, geschweige denn aufzuklä- 
ren. Daher hat Selbstschutz im Netz und 
insbesondere bei Social Media Priorität. 
Auch wenn es keine hundertprozentige 
Sicherheit gibt, sollten folgende Maßnah- 
men für jede UserIn in Fleisch und Blut 
übergehen: Bei jeder E-Mail muss der Ab- 
sender und der Inhalt gecheckt werden, 
bevor z. B. Anhänge geöffnet werden. 
Bei Unplausibilitäten ist im Zweifel eine 
Rückversicherung nötig; dubiose Mails 
sollten umgehend gelöscht, dubiose Web- 
seiten sollten umgehend verlassen wer- 
den. Wer Anlass zur Annahme hat, dass 
sein E-Mail-Konto gehackt wurde, kann 


über Identity-Checker versuchen mehr 
Klarheit zu bekommen (z. B. https:// 
sec.hpi.de/ilc/ oder haveibeenpwned. 
com). Passwörter sollten mindestens 
zehnstellig sein, unplausible Zeichenfol- 
gen enthalten und sich für jedes Konto 
unterscheiden. Zumindest bei sensiblen 
Inhalten ist eine Zwei-Faktor-Authen- 
tifizierung dringend zu empfehlen. Bei 
der Speicherung ist eine Verschlüsselung 
geboten; ebenso bei der Versendung von 
sensiblen E-Mails. Der weit verbreitete, 
bisher offenbar nicht kompromittierte 
Standard ist Pretty Good Privacy (PGP). 
Bei Messengerdiensten sollte man ge- 
meinsam mit seinen Kommunikations- 
partnerInnen nur solche nutzen, die eine 
Ende-zu-Ende-Verschlüsselung vorse- 
hen. Regelmäßige Datensicherungen auf 
einem eigenen Datenträger sind zuverläs- 
siger als die Nutzung von Clouddiensten. 
(Zumeist unentgeltliche) Dienste aus 
dem Ausland, insbesondere aus den USA 
und China, für die Teil des Geschäftsmo- 
dells die Nutzung der personenbezogenen 
Daten sind, sollten gemieden werden. Das 
gilt etwa auch für Twitter, Facebook oder 
WhatsApp. 


-Wo bleibt der Datenschutz? 


Das Doxing gegen deutsche Promi- 
nente istnun Anlass, sich verstärkt über 
den Persönlichkeitsschutz im Inter- 
net Gedanken zu machen. Der Vorgang 
selbst weist schon auf eine problema- 
tische Tendenz hin: Doxing ist nichts 
anderes als eine besonders gravierende 
Datenschutzverletzung. In der öffentli- 
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chen Debatte um den Promi-Hack waren 
aber die unabhängigen Datenschutzauf- 
sichtsbehörden nicht präsent. Dies mag 
auch daran gelegen haben, dass es die 
bisherige Bundesbeauftragte nicht als 
ihre Aufgabe ansah, auf derartige Vor- 
gänge adäquat zu reagieren. Dies wird 
hoffentlich bei ihrem Nachfolger besser 
werden. Das Ausblenden der unabhän- 
gigen Datenschutzaufsicht war zugleich 
kein schlechter medialer Schachzug des 
Bundesinnenministers, der sein BKA 
und sein - eigentlich unzuständiges - 
BSI in den Vordergrund schob. Seeho- 
fer will - im Interesse der Zugriffsmög- 
lichkeit seiner Sicherheitsbehörden auf 
private Daten - nicht mehr Selbstschutz 
und mehr von den Anbietern eingebau- 
te Datensicherheit. Solange er die medi- 
ale Hoheit über solche Themen behält, 
wird es schwer sein, insofern politisch 
weiterzukommen. 

Verwendete Quellen: Bünte, Hacke- 
rangriff: Persönliche Dokumente von 


Katrin Lowitz 


deutschen Politikern und Promis ver- 
öffentlicht, www.heise.de 04.01.2019; 
Scherschel, Politiker- und Promi-Hack: 
Ehemaliges Twitter-Konto eines You- 
Tubers missbraucht, wwwr.heise.de 
04.01.2019; Krempl, Gehackte Daten: 
Politiker beklagen schweren Angriff 
auf die Demokratie, www.heise.de 
04.01.2019; Krempl, Massen-Doxxing: 
Datenschützer will Twitter zum Sperren 
von Links verpflichten, www.heise.de 
05.01.2019; Hackerangriff: BSI wuss- 
te schon länger vom Datenleck - das 
BKA nicht, www.heise.de 05.01.2019; 
Hanauer, Datenleck trifft viele Poli- 
tiker aus Schleswig-Holstein, Kieler 
Nachrichten, 05.01.2019, 1; Köpke, 
Unser geleaktes Heimatland, Kieler 
Nachrichten 05.01.2019, 3; Anzlin- 
ger/von Billion/Hurtz/Tandriverdi, 
Daten Hunderter Politiker gestohlen, 
SZ 05./06.01.2019, 1; Unionsfrakti- 
onschef für höheres Strafmaß bei Da- 
tendiebstahl, www.heise.de; Holland, 


Nach Datenklau und Twitter-Malheur: 
Grünen-Chef verlässt Twitter und Face- 
book, www.heise.de 07.01.2019; Brühl/ 
Fried/Höll, Das Beben aus dem Kinder- 
zimmer, SZ 09.01.2019, 5; Fried/Höll, 
Ein Schüler stahl die Politiker-Daten, SZ 
09.01.2019, 1; Brühl, Der digitale Pran- 
ger, SZ 09.01.2019, 9; Hurtz/Steinke, 
Tandriverdi, Quälgeister, SZ 08.01.2019, 
2; Scherschel, Massen-Doxxing: Täter 
hat sich wohl schon 2016 verraten www. 
heise.de 10.01.2019; Amann/Baum- 
gärtner/Bohr/Diehl/Gebauer/Höfner/ 
Knobbe/Lehberger/Medick/Müller/ 
Pauly/Rosenbach/Seibt/Wiedmann- 
Schmidt, Plötzlich nackt, Der Spiegel 
Nr. 3 12.01.2019, 15-23; Telekom: Da- 
tendiebstahl strenger bestrafen, www. 
heise.de 13.01.2019; Massen-Doxxing: 
Barley hält Musterklage gegen Inter- 
netkonzerne für denkbar, www.heise. 
de 13.01.2019; Mascolo, Die Wacht am 
Rhein soll aufwachen, SZ 17.01.2019, 6. 


beyond-EVE - Eine alternative Social-Media-Plattform 


Als Christopher Wylie im März 2018 mit 
seinen Informationen über Cambridge 
Analytica an die Öffentlichkeit ging, hat- 
te ich bereits ein Jahr Bemühungen hin- 
ter mir, eine schnelle Alternative für eine 
zweckgerichtete Netzwerkplattform auf- 
zubauen, die Menschen und Organisa- 
tionen schneller verbinden kann als die 
KI-getriebenen Plattformen der sozialen 
Medien. Die Intention meiner Plattform 
beyond-EVE (Encounter, Values, Environ- 
ment) ist es, die Hoheit über den Zugang 
zu relevanten Informationen wieder an 
die User zurück zu geben im Sinne eines 
Lean Networking: Zeige in 5 Minuten ein 
Thema aus einer 360°-Perspektive aus 
Politik, Unternehmen und Zivilorganisa- 
tionen. 

Nochmal einen Schritt zurück: Feb- 
ruar 2017, US-Präsident Trump war ver- 
eidigt. Die ersten verstörenden Amts- 
handlungen schickten bereits Schock- 
wellen durch die geopolitische Welt. Der 
US-Wahlkampf 2016, der von allen Be- 
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teiligten intensiv auch über die sozialen 
Medien gespielt worden war, war gelau- 
fen, mit einem unwirklichen Ergebnis. 
Im Dezember 2016 wurde bereits darü- 
ber diskutiert, welche Einflussnahme 
die sozialen Medien wohl auf den Wahl- 
kampf hatten. 

Im gleichen Zeitraum 2016 hatteich als 
Vertreterin einer ehrenamtlichen Organi- 
sation intensiv zu Öffentlichkeitsarbeit 
recherchiert. „Social-Media-Marketing 
muss man machen“, hieß es, daran führe 
kein Weg vorbei. Also, es funktioniert so: 


1.Ständig online sein, posten und tei- 
len. Nur wer seine Mitmenschen mit 
ständigen Botschaften bearbeitet, 
wird wahrgenommen. 

2.Aufmerksamkeit generieren durch 
Likes und Kommentare bei Ande- 
ren; am besten mit einem knalligen 
Spruch, bloß nicht zu viel Inhalt. 

3.Mit Geld für die Plattformbetreiber 
sind zielgenau bestimmte Gruppen 


anzusprechen. Alter, politische Aus- 
richtung, Einkommensverhältnisse, 
Interesse, Hobbys wurden bereits 
vom Plattformbetreiber ausgespäht, 
so dass meine Botschaft zielgerichtet 
einschlägt. 

4.Der Algorithmus spült meine Werbung 
Anderen in die Timeline. Die Opfer 
meiner Bemühungen arbeiten sich 
durch die Werbepost. Da es alle so ma- 
chen und die Aufmerksamkeitsspan- 
ne der Zielpersonen trotzdem nicht 
größer wird, kleben alle ewig an ih- 
rem Smartphone (Attention Economy 
heißt das). 

5.Alle sind im Sendemodus, Hauptsa- 
che: Posten und weg, Daumen hoch, 
Herzchen ... 

6.Inhalte sind zu 85% belanglos, zu 5% 
Hass, zu 10% interessant. Wie bekom- 
me ich nur diese 10%? 

7.Seriöse Medien heben das Niveau 
durch ihre Beiträge und veredeln da- 
durch die Plattformen. 
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Ich versuchte es ein paar Monate. Aber 
es nervte, es kostete viel zu viel Zeit. 
Ich beobachtete das Bemühen anderer 
Zivilorganisationen, die für ihre Themen 
ebenfalls im Verhältnis wenig Rückkopp- 
lungen bekamen. Ich beobachtete, wie 
mich die „Filterblase” einkreiste. Ich 
agiertein meinem Themengebiet und das 
Dopamin im Hirn belohnte mich, wenn 
jemand meine Beiträge mochte. Für wen 
arbeitete ich hier eigentlich? 

Das Ergebnis meiner Untersuchung 
ist: Die Plattformen wollen 
1. Lange online-Zeiten der User. 

2. Analyse der User durch Beobach- 
tung, was angeklickt wird. 

3. Konsum-orientierte Werbung ver- 
kaufen. Wer zahlt, wird gezeigt! 

4. Social Media wird damit zum Kon- 
sumturbo. 

5. Non-Profit-Organisationen, For- 
schung, Bildung werden äußerst 
nachrangig und sind nicht gut zu fin- 
den. 

6. Der Nebennutzen: Sicherheitsbe- 
hörden von undemokratischen und 
demokratischen Ländern haben ein 
perfektes Überwachungsinstrument. 


Dann im Februar 2017 sah ich das: Ale- 
xander Nix von Cambridge Analytica (CA) 
stellt einem interessierten Publikum im 
September 2016 auf der Konferenz Con- 
cordia in New-York vor, wie Microtarge- 
ting im Wahlkampf von Ted Cruz/Trump 
lief. Bei YouTube unter „Cambridge 
Analytica - The Power of Big Data and 
Psychographics” wurde es erläutert. Er- 
schütternd aber: Egal ob die Befähigung 
von CAnun da war oder nicht, alle hätten 
gerne dieses Instrument, denn damit ist 
viel Geld zu machen. Also, dieses ständi- 
ge Suchen ist nicht das Arbeitsergebnis 
eines schlechten Programmierers, son- 
dern einebewusste Manipulation, um die 
Menschen vor ihren Geräten zu halten, 
damit sie ausspioniert werden können. 
Jeder Klick liefert eine Information an 
den Plattformbetreiber, die monetari- 
siert wird. 

Wie würde eine bessere Plattform 
aussehen, die innerhalb von 5 Minuten 
relevante Informationen sortiert? Dazu 
müsste definiert werden, was relevant 
ist. „Open and connected”, das Credo 
von Mr. Zuckerberg, ist ein bisschen we- 
nig. Facebook ist nun seit einem Jahr in 
der Beobachtung der Öffentlichkeit und 
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hält mehr Fragen offen, als dass sie Ant- 

worten liefern. 

Nach verschiedenen Umwegen seit 
März 2017 und auch aufgrund der Bri- 
sanz der globalen Entwicklung ist die 
Agenda 2030 mit den 17 Nachhaltig- 
keitszielen der UN, die von fast allen 
Staaten anerkannt wurden, der Rah- 
men für die Beteiligung bei beyond- 
EVE (Encounter, Values, Environment). 
Die Ziele sind transparent und für alle 
nachvollziehbar. Hiermit ist das gesam- 
te Wirtschaftssystem, sowie Forschung, 
Bildung, Gesundheit und Innovationen 
über alle Industriebereiche abgedeckt. 
Inzwischen haben fast alle wirtschaftli- 
chen Aktivitäten Einfluss auf die Nach- 
haltigkeitsziele. Wirtschaftliche Aktivi- 
täten und politische Reqularien werden 
sich mehr und mehr an diesen Zielen 
ausrichten. 

Welche Plattformbedingungen sind 
erforderlich? 

1. Ergebnisse sollen innerhalb von 5 Mi- 
nuten gefunden werden. 

2. Keine Profile von Privatpersonen; 
dies würde wieder zu Datenschutz- 
problemen führen und wiederum die 
Menge an Einträgen unnötig verviel- 
fachen; anonyme Konten sind nicht 
verifizierbar bei Falschmeldungen; 
verifizierte Konten führen wieder zu 
Überwachungspotentialen. 

3. Profile können nur von Organisatio- 
nen angemeldet werden. 

4. Keine Likes und Kommentare; alle 
Plattformen, deren positive Kom- 
mentare zu wirtschaftlichem Erfolg 
führen, haben langfristig Proble- 
me mit unehrlichen oder gekauften 
Klicks oder manipulierten Einträgen. 

. Kein Ranking nach Menge, denn viel- 
leicht hat gerade die kleinste Organi- 
sation die beste Idee oder das beste 
Angebot. 

6. Niemanden auf der Plattform fest- 
halten; wenn ein Ergebnis gefunden 
wurde, direkt zum digitalen oder 
analogen Ziel weiterleiten. Schnell 
ein Ergebnis zu liefern ist unser Ziel. 
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Die Profileinträge der Organisationen 
sollen auf das Wesentliche beschränkt 
werden: 

« Werist die Organisation? 
« Was sind die Arbeitsergebnisse? 
« Welche Veranstaltungen, Angebote, 

Produkte liefern sie? 


« Wie können sich Interessierte offline 
beteiligen? 
° Anbieter von Informationen sollen 
möglichst wenig Aufwand mit dem 
Einstellen haben. 
Hoch-individualisierte Tags werden 
nicht zugelassen, denn sie erschwe- 
ren nur die Ergebnisfindung. 
Filter werden mit Umfang der Platt- 
form verfeinert. 
Für Privatpersonen gibt es keine Bar- 
rieren, um sich anzumelden; die In- 
formationen stehen offen zur Verfü- 
gung. 
Niemand soll gezwungen werden sei- 
ne persönlichen Daten anzugeben, 
um an Informationen zu kommen. 
Non-Profit-Organisationen können 
kostenlos Angebote einstellen. 


In der Planung sind weitere Ausbau- 
stufen; auch eine interaktive personen- 
bezogene Aktionsplattform ist noch in 
der Konzeption. Allerdings sehe ich der- 
zeit keine Möglichkeit, dass sich Perso- 
nen anonym anmelden können, wenn 
die Qualität gehalten werden soll. Dies 
würde zu den gleichen Problemen füh- 
ren, mit denen sich die Plattformbetrei- 
ber schon jetzt herumschlagen. 

Es gäbe interessante Themen und en- 
gagierte Organisationen und Möglich- 
keiten sich analog wieder mehr zu tref- 
fen, wenn man sie denn finden würde. 
Das ist unser Ziel, hierbei wollen wir die 
vielen Organisationen und Unterneh- 
men unterstützen, ihr Angebot einem 
größeren Publikum vorzustellen und 
Filterblasen zu beenden. Privatperso- 
nen sollen wieder die Informationsflut 
beherrschen können, nicht stunden- 
lang suchen müssen. Sie sollen keine 
tolle Veranstaltung mehr verpassen; sie 
sollen Bildungsangebote finden. Und 
über Themen wie z.B. Mobilität oder Di- 
gitalisierung sollen sie eine 360°-Sicht 
aus den unterschiedlichsten Perspekti- 
ven bekommen. 

Die analoge Interaktion zwischen 
den Menschen kann mit dem besseren 
Zugang zu Veranstaltungen und Be- 
teiligung wieder in einem sozialen, in- 
teraktiven Umfeld geführt werden. In 
einer Diskussion zuhören, seine eigene 
Meinung vertreten, sich die Antworten 
anhören und in weitere Diskussion tre- 
ten: Hierzu wollen wir unseren Beitrag 
leisten. 
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Heinz Alenfelder 


Twitter und Datenschutz - Ein Überblick 


Die großen Player im Bereich der So- 
zialen Medien wie Facebook und Google 
stehen schon lange in der Kritik, wer- 
den aber dennoch fortwährend genutzt. 
Twitter ist zumindest in Deutschland 
zwar eher unwichtig, scheint jedoch 
durch @realDonaldTrump mit seinen 


40.000 Tweets und 57 Millionen Follo- 
wer weltweit geadelt zu werden. Dieser 
Beitrag soll zeigen, wie esin diesem Feld 
der permanenten freiwilligen Veröffent- 
lichung mit dem Datenschutz aussieht, 
dem Schutz personenbezogener Daten 
an sich und den Möglichkeiten von Da- 


tenauswertungen. Abschließend wird 
ein Blick auf Stellungnahmen von Da- 
tenschutz-Behörden geworfen. Damit 
soll auch eine Berichtslücke der DANA 
geschlossen werden, denn Twitter findet 
seit 2010 nur sporadisch in DANA-Bei- 
trägen Erwähnung. 


DANA-Beiträge mit Erwähnung von Twitter 


Begrifflichkeiten bei Twitter 


Zunächst sei knapp zusammenge- 
fasst, wie die Funktionsweise des Kurz- 
nachrichtendienstes Twitter aussieht. 
Übliche Vorgehensweise ist die einma- 
lige Registrierung unter einem Twit- 
ter-Namen, die auch mit Pseudonym 
möglich ist. Diese Personen/Accounts 
werden innerhalb von Twitter mit einem 
vorangestellten „@“-Zeichen gekenn- 
zeichnet. Nach der Anmeldung können 
Text-Nachrichten (Tweets) mit bis zu 
280 Zeichen sowie Fotos und Videos ver- 
sendet werden. Das Weiterleiten eines 
nicht selbst geschriebenen Tweets heißt 
Retweet. Der Abruf von Tweets ist zwar 
auch ohne Anmeldung möglich (eine 
Suche erfolgt zum Beispiel mit https:// 
twitter.com/search?q=datenschutz), 
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aber die folgenden Erläuterungen bezie- 
hen sich auf die Situation nach einer An- 
meldung im Webbrowser (www.twitter. 
com). 

Die Twitter-Startseite zeigt nach der 
Anmeldung im Fokus chronologisch 
geordnet Tweets und Retweets derjeni- 
gen Personen an, denen der/die Ange- 
meldete „folgt“ (d. h. als deren Follower 
sie sich hat registrieren lassen). Das 
„Folgen“ ist Basis für den Aufbau einer 
Sphäre von Twitter-Accounts, in denen 
sich meist Gleichgesinnte vernetzen, 
die dieselben Interessen haben. Von Zeit 
zu Zeit wird die beim Anmelden gezeig- 
te Abfolge von Tweets durch Empfehlun- 
gen und Werbe-Tweets unterbrochen. 
Followern können Direktnachrichten 
gesendet werden, die nicht öffentlich 
einsehbar sind. 


Innerhalb des Dienstes kann nach 
Stichworten in den Tweets und in den 
Beschreibungen von Fotos, Videos oder 
auch Personen gesucht werden. Bei der 
Suche werden standardmäßig „Top”- 
Tweets gezeigt; möglich ist die Sortie- 
rung nach Datum („Neueste“). In dersel- 
ben Ansicht kann die Suche per „Suchfil- 
ter“ durch Datums-, Orts- oder Personen- 
Angaben erweitert werden. Zum Hervor- 
heben und als spätere Sucherleichterung 
können wichtige Worte in einem Tweet 
mit einem führenden Raute-Zeichen (#) 
versehen werden, was dann zu den soge- 
nannten Hashtags führt, die heutzutage 
auch in anderen Zusammenhängen als 
Kennzeichnung verwendet werden (Bei- 
spiel: #Datenschutz). 

Sowohl auf der allgemeinen Start- 
seite nach der Anmeldung als auch in 
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der Such-Ergebnisseite schlägt Twitter 
„Wem folgen?“ und „Trends für dich” 
vor und macht so maßgeschneiderte 
Vorschläge für Accounts und Tweets, die 
vermeintlich den eigenen Interessen 
am nächsten kommen. Ein „Ändern“ er- 
möglicht die Angabe eines anderen Or- 
tes, wobei unklar bleibt, ob weitere Nut- 
zungskriterien zur Anzeige von Tweets 
aus dieser Stadt/diesem Land hinzuge- 
zogen werden. 

Bei Gefallen kann ein Tweet durch das 
Anklicken eines Herzsymbols „gelikt” 
werden (eingedeutscht vom englischen 
Verb „to like”). Die Zahl der „Likes” führt 
offensichtlich zu einer höheren Position 
bei den „Top“-Tweets. 


Die Twitter-Datenschutzrichtlinie - 
Alles für die Werbung?! 


Im Folgenden werden wichtige Punk- 
te aus der 14-seitigen Twitter-Daten- 
schutzrichtlinie' vom 25. Mai 2018 zu- 
sammengefasst. Alle Zitate sind diesem 
Dokument entnommen. Ein Blick auf 
den Vorspann der Datenschutzrichtli- 
nie zeigt als Kernpunkte die generelle 
Öffentlichkeit aller Tweets und die Tat- 
sache, dass Daten auch bei unangemel- 
deter Nutzung anfallen. Informationen, 
die über das technisch Notwendige hi- 
nausgehen, werden genutzt „für Dinge 
wie die Sicherheit Ihres Accounts und 
um Ihnen relevantere Tweets, Personen, 
denen Sie folgen können, und Anzeigen 
anzuzeigen“. Dann wird offengelegt, 
dass zusätzlich zu den mit Anderen ge- 
teilten Informationen sämtliche Tweets 
(gelesene, gelikte und auch retweetete) 
„sowie weitere Informationen” genutzt 
werden, um Interessensgebiete, Alter, 
Sprachen sowie „weitere Signale” zu 
bestimmen. Schon an dieser Stelle muss 
auf die Gefahren der Auswertung von 
Big Data hingewiesen werden. 

Zu den grundlegenden Accountdaten 
gehören 

« ein angezeigter Name, 

« der Nutzer-/Nutzerinnen-Name, 

« Passwort, 

« E-Mail-Adresse oder Telefon- 

nummer. 
Öffentlich sind 

« Profilangaben, 

« Zeitzone und Sprache, 

° Datum der Account-Erstellung, 

« die Tweets und dazu 
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- Datum, 

- Uhrzeit sowie die 

- Applikation, mit der sie erstellt 
wurden. 


Die Ortsangaben in Tweets können ab- 
gestellt werden. Des Weiteren einsehbar 
sind die Follower sowie die „Gefällt mir”- 
Angaben. Außerdem stellt die Richtlinie 
klar: „Informationen, die andere Perso- 
nen, die unsere Dienste nutzen, über Sie 
veröffentlicht haben, können auch öf- 
fentlich sein. Zum Beispielkönnen ande- 
re Personen Sie in einem Foto markieren 
(falls Ihre Einstellungen dies erlauben) 
oder in einem Tweet erwähnen.” 

Twitter ist durchaus zugute zu halten, 
dass immer wieder Hinweise in den Er- 
klärungen erfolgen, die zum bewussten 
Umgang mit Daten aufrufen. Ein Beispiel 
dazu: „Sie sind verantwortlich für Ihre 
Tweets und andere Informationen, die 
Sie über unsere Dienste angeben, und 
Sie sollten sorgfältig darüber nachden- 
ken, was Sie öffentlich machen, insbe- 
sondere dann, wenn es sich um sensible 
Informationen handelt”. Weniger klar ist 
die Erklärung, wie die Daten genutzt wer- 
den. Natürlich dienen die Accountdaten 
der Authentifizierung. Darüber hinaus 
weist die Datenschutzrichtlinie aber im- 
mer wieder auf Twitter-„Dienste“” hin, be- 
züglich derer es sowohl eine Vielzahl von 
Einstellungen als auch eine nicht näher 
genannte Zahl von „verbundenen Unter- 
nehmen“ gibt. Die Dienste dienen wohl 
vor allem zur Zusendung von Werbung 
per E-Mail und SMS. Beim Hochladen 
des gesamten Adressbuchs eines Smart- 
phones nutzt Twitter die Kontaktdaten 
„auch, um Ihnen und anderen besser In- 
halte empfehlen zu können“. 

Auch die Direktnachrichten, die 
nicht öffentlich nur an Ausgewähl- 
te gerichtet sind, werden von Twitter 
gescannt, um „bösartige Links” zu fin- 
den und „Spam und verbotene Bilder” 
aufzudecken. Zwar werden die Inhalte 
dieser Direktnachrichten nicht für An- 
zeigen benutzt, allerdings begründet 
Twitter das Speichern und Verarbeiten 
von Metadaten auch damit, „relevan- 
tere Inhalte” anzeigen zu wollen, und 
betont lediglich: „Wir nutzen auch 
Informationen darüber, mit wem Sie 
kommuniziert haben und wann (aber 
nicht die Inhalte dieser Kommunika- 
tionen)”. 


Eine vierseitige Beschreibung von „zu- 
sätzlichen Informationen” enthält Er- 
läuterungen zu Standortdaten, aufgeru- 
fenen Links in Tweets und E-Mails sowie 
temporär und dauerhaft gesetzten Coo- 
kies, mit denen Nutzungsdaten gesam- 
melt werden. Twitter unterstützt nicht 
die „Do Not Track“-Browseroption. Auch 
ohne Anmeldung sammelt Twitter Infor- 
mationen, „wenn Sie Inhalte ansehen 
oder unsere Dienste anderweitig nutzen” 
und bezeichnet sie als „Log-Daten”. Die 
maximal 18 Monate aufbewahrte Liste 
von Log-Daten ist erklecklich: 

« IP-Adresse 

« Browsertyp 

« Betriebssystem 

« Informationen zu der zuvor aufge- 

rufenen Website und den aufgeru- 
fenen Seiten 

« Standort 

« Mobilfunkanbieter 

« Geräteinformationen (einschließ- 

lich Geräte-ID und Anwendungs-ID) 

« Suchbegriffe 

« Cookie-Informationen 


Bezüglich der Nutzung dieser Daten 
wird wiederin einem Atemzug sowohl die 
Account-Sicherheit als auch dieWerbung 
genannt: Twitter interessiert sich dafür, 
„welche Inhalte in unseren Diensten 
beliebt sind“ und benutzt die Daten, um 
„Schlussfolgerungen zu ziehen z. B. dar- 
über, an welchen Themen Sie interessiert 
sein könnten, wie alt Sie sind und welche 
Sprachen Sie sprechen”. 

Zusätzlich taucht immer wieder der 
Begriff der „relevanteren Inhalte” auf, 
hinter dem die Werbung steckt, die letz- 
ten Endes auch geräteübergreifend aus- 
gespielt wird: „Besuchen Sie zum Beispiel 
Websites mit Sport-Inhalten über Ihren 
Laptop, können wir Ihnen sport-bezo- 
gene Anzeigen auf Twitter für Android 
zeigen.” Twitter zeigt mit der umfang- 
reichen Datenschutzrichtlinie auf, dass 
Transparenz, wie sie von der DSGVO ge- 
fordert wird, ähnlich wie der Begriff der 
Schönheit, im Auge des Betrachters liegt. 
In der alltäglichen Nutzung des Twitter- 
Accounts mit Nachrichten, Kommenta- 
ren, Likes und Fotografien von Kleidung, 
Mahlzeiten, Landschaften und Personen 
gewinnen Formulierungen wie „relevan- 
tere Inhalte“ eine neue Bedeutung. 

Natürlich lässt Twitter eine ganze Rei- 
hevon Einstellungen zu, allen voran das 
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Abstellen der Ortsangabe in Tweets. Hier 
soll lediglich das Augenmerk auf die 
„Personalisierung“ gerichtet werden, 
die ausschlaggebend für die auf Twit- 
ter angezeigte Werbung ist. Basis der 
ausgelieferten Anzeigen ist die Twitter- 
Aktivität, mit der „Anzeigen auf Twitter 
und anderswo durch Kombination dei- 
ner weiteren Online-Aktivitäten” per- 
sonalisiert werden. Die entsprechende 
Auswertung von Twitter bezieht sich auf 
alle Geräte, auf denen die Nutzenden 
sich anmelden. Weiter hinzugezogen 
werden „Drittanbieter-Websites mit in- 
tegrierten Twitter-Inhalten oder auch 
von Twitter aus besuchte Werbekun- 
den”. Schließlich werden der aktuelle 
und frühere Standorte für die Personali- 
sierung von Anzeigen ausgewertet. 
Entlarvend sind schließlich die Erklä- 
rungen zu Zielgruppen. Nebulös wird 
erklärt, dass Werbekunden Twitter-Nut- 
zende aus „E-Mail-Listen oder basierend 
auf dem Browserverhalten“ in maßge- 
schneiderte Zielgruppen aufnehmen. 
Twitter selbst hat dann ebenso Zielgrup- 
pen aufgebaut, indem die „Ähnlichkei- 
ten zwischen deinem Account und den 
Accounts [...], die in maßgeschneider- 
ten Zielgruppen enthalten sind” aus- 
gewertet wurden. Die Einstellungen 
erlauben, sich aus diesen Zielgruppen 
und von „weiterer interessenbasierter 
Werbung” abzumelden. Ein glatter Hohn 
wird das angesichts der ausdrücklichen 
Betonung seitens Twitter: „Durch Än- 
dern der Einstellung siehst du andere 
Anzeigen auf Twitter, du wirst jedoch 
nicht aus diesen Zielgruppen entfernt.” 


Auswertung von Twitter-Daten - 
Grenzenlose Nutzung 


Die folgende kleine Stichprobensamm- 
lung soll nun zeigen, wer außer Twitter 
die Daten des Micro-Blogging-Dienstes 
noch nutzt bzw. nutzen möchte. Werbung 
ist nämlich die eine Seite der Medaille, 
doch andererseits steht Twitter auch für 
die Big-Data-Auswertung. Sie ermög- 
licht beispielsweise das Microtargeting, 
bei dem Datenanalysen genutzt werden 
können, um Wählergruppen oder auch 
sogar einzelne Wähler und Wählerinnen 
gezielt anzusprechen. Papakyriakopou- 
los und andere haben in einer Analyse 
von Facebook-Daten? herausgearbeitet, 
dass „es im Einklang mit den deutschen 
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Datenschutzgesetzen möglich ist, Daten 
aus dem sozialen Netzwerk Facebook zu 
extrahieren und damit Microtargeting 
zu betreiben“. Sie werteten dazu die 
„Likes“ der Nutzerinnen und Nutzer zu 
politischen Posts aller großen Partei- 
en aus. „Auf Basis von standardisierten 
Microtargeting-Auswertungsmethoden 
konzentrieren wir uns bei der Auswer- 
tung auf Nutzer, die Inhalte auf Seiten 
von unterschiedlichen Parteien ‚gelikt‘ 
haben.” Auf diese Weise wurden mögli- 
che Wechselwähler im Umfang von ca. 20 
Prozent identifiziert. In Kombination mit 
anderen Interessengebieten kommen 
laut Aussage der Autoren Informationen 
zusammen, die „für einen geübten Wahl- 
kämpfer bereits [reichen], um eine sehr 
persönlich wirkende Ansprache zu ver- 
fassen und dem Nutzer personalisierte 
Wahlwerbung zu senden.” Analog dürfte 
das für Twitterdaten gelten. 

Ein konkretes Beispiel dafür, wie Twit- 
terdaten genutzt werden können, istein 
Projekt der Stiftung Mercator am Mar- 
burger Centrum für Nah- und Mittelost- 
Studien (CNMS)?. Aufgrund bisher feh- 
lender Sekundärliteratur zum Thema 
Atheismus in der Türkei wird in diesem 
Projekt, an dem auch Wissenschaftler 
zweier Istanbuler Hochschulen beteiligt 
sind, Twitter herangezogen. Der pro- 
jektleitende Islamwissenschaftler Pierre 
Hecker: „Das Projektteam analysiert 
den öffentlichen Diskurs um Atheismus 
unter anderem über eine systematische 
Auswertung von Twitter-Daten”. 

Nicht nur für nachträgliche Auswer- 
tung, sondern auch für akute Situatio- 
nen ist Twitter als Datenquelle hervor- 
ragend geeignet. Auf der deutschen 
Webseite der Österreichischen Zeitung 
„Der Standard“ berichtet Katharina 
Kropshofer am 17.8.2018 über ein Dis- 
sertationsprojekt‘. Cornelia Ferner, 
Institut für Informationstechnik und 
Systemmanagement an der Fachhoch- 
schule Salzburg, will Tweets über Kata- 
strophenfälle auswerten: „Auf Twitter 
sind Daten in Echtzeit vorhanden. Bei 
Naturkatastrophen kann das eine wert- 
volle Informationsquelle sein“. Dass 
mit einer solchen Methode auch im 
Alltag beliebige Analysen durchgeführt 
werden können, wird durch folgende, 
weit verbreitete Ansicht deutlich: „Im 
Bereich Data-Science sind die Algorith- 
men, die man verwendet, eigentlich im- 


mer die gleichen. Die Inhalte, die man 
reinsteckt, sind dem Algorithmus egal”. 

Fabian Pfaffenberger schließlich 
schätzt 2016 in seiner Masterarbeit 
„Jwitter als Basis wissenschaftlicher Stu- 
dien“ den Datenpool von Twitter auch 
deshalb als sehr interessant ein, weil bei 
dessen Nutzung, „(zunächst) keine stren- 
gen Datenschutz- und Anonymisierungs- 
auflagen“ zu erfüllen seien. Er gelangt 
allerdings zu der Einschätzung, dass die 
Erkennung von Propaganda und Spam in 
Tweets eine Herausforderung ist, die vor 
der Nutzung für wissenschaftliche Ana- 
lysen bewältigt werden muss. Außerdem 
fehlten für Studien über Tweets die Reprä- 
sentativität und der kommunikative Zu- 
sammenhang. Hinzu kämen natürlich die 
Kosten, die bei Nutzung des exklusiven 
Datenlieferanten Gnit entstehen. Nicht 
nur dieser Autor sieht bei allen Hinder- 
nissen zahlreiche Einsatzgebiete: „Von 
der Echtzeit-Erkennung von Epidemien 
oder Unglücken über die Stimmungsana- 
lyse während medialer Großereignisse bis 
zur Erstellung von Bewegungsprofilen, 
Stimmungsverläufen oder Interaktionen 
ausgewählter Nutzer”. 


Weitere Gefahren durch Twitter 


Ob nun die Nutzung von Twitter-Daten 
im Wahlkampf zwecks Microtargeting 
oder zu diversen Studienzwecken, eine 
Betrachtung weiterer Veröffentlichun- 
gen zeigt, dass noch ungeahnte Gefah- 
ren lauern können. So stellen Czech, 
Podoll und Schneider in ihrem Beitrag 
in der Zeitschrift „Der Nervenarzt”° fest, 
es sei „auf vielen psychiatrisch-psycho- 
therapeutischen und psychosomati- 
schen Stationen inzwischen alltägliche 
Praxis, dass Patienten auf eigene Initia- 
tive untereinander per Messenger kom- 
munizieren, sowohl in Einzel- als auch 
und vor allem in Gruppenchats“”. Sie se- 
hen Regelungsbedarf bezüglich Restrik- 
tionen im therapeutischen Setting und 
zur Verhinderung von strafbaren Hand- 
lungen und konstatieren: „Insbesonde- 
re bezüglich möglicher auch positiver 
Wirkungen von Gruppenchats besteht 
weiterer Forschungsbedarf”. Als prakti- 
schen Hinweis heben sie die „Leitlinien 
für die Nutzung sozialer Netzwerke für 
Krankenschwestern und -pfleger” her- 
vor, die 2012 in Amerika implementiert 
wurden. 
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Bereits 2014 hat Jalal Mahmud am 
IBM Research Center herausgefunden, 
dass 200 Tweets eines Nutzers reichen, 
um eine Ortsbestimmung vorzuneh- 
men, auch ohne dass diese Informati- 
on in den Tweets freigeschaltet wäre. 
In einer Studie’ wertete er mit seinem 
Team die Inhalte von ca. 1,5 Millionen 
US-amerikanischer Tweets aus, die mit 
Geotags gekennzeichnet waren. Die 
Forschungsgruppe trainierte den Algo- 
rithmus und konnte dann bei Tests zu 
über zwei Dritteln der Tweets den kor- 
rekten Wohnort und Bundesstaat ermit- 
teln. Das Feststellen der Zeitzone gelang 
sogar bei 80 Prozent der Testtweets. In 
den Folgejahren analysierte Mahmud je- 
weils mit seinem Team Themen wie „Pre- 
dicting attitude and actions of twitter 
users”? oder „25 Tweets to Know You“*. 
Bei der letzten Studie von 2017 handelt 
es sich um ein Modell zur Vorhersage 
von Persönlichkeitseigenschaften mit 
Social Media. 


Äußerungen einschlägiger Behörden 
zu Twitter 


Auf der Suche nach Informationen 
ist es naheliegend, die Webseiten von 
Institutionen anzusteuern, die sich mit 
dem Datenschutz befassen und für die 
Aufsicht zuständig sind. Die folgende 
Übersicht soll durch ihre Reihenfolge 
keine Bewertung darstellen, sondern 
als Überblick zeigen, dass die Informa- 
tionsflut hier eher spärlich sickert. 


Düsseldorfer Kreis!® 


Die Aufsichtsbehörden für den Da- 
tenschutz im nicht-öffentlichen Be- 
reich (Düsseldorfer Kreis) fassten 
zuletzt in 2011 einen Beschluss zum 
Datenschutz in sozialen Netzwerken. 
Damals gingen sie auf die Selbstver- 
pflichtungen der Netzwerkbetreiber 
ein, begrüßten sie als „Schritt in die 
richtige Richtung” und stellten fest, 
dass das deutsche Datenschutzrecht 
nur unter ganz bestimmten Bedingun- 
gen nicht zu Geltung kommt. Zur Wah- 
rung des Rechts auf informationelle 
Selbstbestimmung forderten sie „leicht 
zugängliche und verständliche Infor- 
mation darüber [...], welche Daten er- 
hoben und für welche Zwecke verarbei- 
tet werden”. Schon damals stellten sie 
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fest, dass „das direkte Einbinden von 
Social Plugins, beispielsweise von Fa- 
cebook, Google+ oder Twitter, in Web- 
sites deutscher Anbieter, wodurch eine 
Datenübertragung an den jeweiligen 
Anbieter des Social Plugins ausgelöst 
wird, [...] ohne hinreichende Infor- 
mation der Internetnutzerinnen und 
-nutzer und ohne ihnen die Möglich- 
keit zu geben, die Datenübertragung 
zu unterbinden“ unzulässig sei. 


Bundesbeauftragter für den Daten- 
schutz und die Informationsfreiheit 
(BfDI)" 


Auf der Webseite des BfDI findet sich 
unter dem Thema „Telefon und Inter- 
net“ der Beitrag „Facebook, Twitter und 
Co.: Datenschutz in Sozialen Netzwer- 
ken“. Auch wenn der BfDI hier nicht 
die Datenschutzaufsicht hat, stellt der 
Beitrag doch recht anschaulich die Ge- 
fahren heraus, die bei Veröffentlichun- 
gen in Sozialen Netzwerken drohen. 
Die Empfehlung dort lautet: „Aus da- 
tenschutzrechtlicher Sicht sollte man 
die Vor- und Nachteile der Preisgabe 
von persönlichen Informationen genau 
abwägen und die Persönlichkeitsrechte 
Dritter respektieren.” Hier wird kurzer- 
hand aus einem „Muss“ ein „Sollte“. Der 
BfDI fordert auch auf, jeweils die Daten- 
schutzerklärung zu lesen, „denn diese 
konkretisiert die Erhebung und Verwen- 
dung der personenbezogenen Daten”. 
Ob dem so ist, muss stark bezweifelt 
werden, zeigen doch gerade die obigen 
Ausführungen, dass dies zumindest bei 
Twitter nicht der Fall ist. Positiv ist zu 
vermerken, dass erläutert wird, wer für 
die Datenschutzaufsicht zuständig ist. 
Allerdings wird dann lediglich auf die 
Impressumsseite des Netzwerkbetrei- 
bers verwiesen, der das Bundesland und 
damit die Aufsichtsbehörde entnommen 
werden soll. Am Beispiel Facebook wird 
dann die Datenschutzaufsicht Irlands 
erwähnt. Hier würde sich sicher eine 
Übersicht zumindest über die Betreiber 
der größten sozialen Netzwerke emp- 
fehlen! Ob sich allerdings an diesem 
Punkt etwas mit der kürzlich erfolgten 
Neubesetzung des Amtes durch Ulrich 
Kelber ändert, ist fraglich, da dieser bis- 
her sehr intensiv seinen Twitter-Account 
bestückt (als MdB 19.000 Follower und 
28.000 Tweets). 


Bundesamt für Sicherheit in der Infor- 
mationstechnik (BST) 


Nun richtet sich das BSI natürlich 
in erster Linie an Behörden und Un- 
ternehmen und zählt in seiner Ver- 
öffentlichung „Soziale Medien und 
Soziale Netzwerke“'? die Risiken auf: 
„Bei der rein privaten Nutzung von 
sozialen Medien sind maßgeblich 
die folgenden Sicherheitsrisiken als 
kritisch zu bewerten: Identitätsdieb- 
stahl, Offenlegung privater Infor- 
mationen / Schutz der Privatsphäre, 
Datenschutzverletzung, Phishing, 
Mobbing und Cyberstalking.” In der 
Broschüre wird weiter herausgestellt, 
dass sich die Nutzung sozialer Medien 
für Unternehmen anders darstellt als 
die Privatnutzung, und sie legt den 
Schwerpunkt auf die Betrachtung des 
Abflusses von geschäftskritischen In- 
formationen. Dieser kann nicht nur 
durch bewusste Informationswei- 
tergabe geschehen, sondern das BSI 
führt auf, dass über Kontakte interne 
und externe Strukturen sichtbar wer- 
den. Fotos enthalten Informationen 
nicht nur im Bild, sondern auch in 
den Metadaten (z.B. Ortsangaben und 
Datumsstempel). Zu den dann darge- 
stellten Strategien gehört schließlich 
auch die Empfehlung an das Unter- 
nehmen, eine eindeutige Regelung 
bezüglich der zu veröffentlichenden 
Informationen zu treffen: „Geschäfts- 
zahlen, Personalien oder strategische 
Informationen sollten explizit aus- 
geschlossen werden. Gleiches gilt für 
Kundenbeziehungen und Produktin- 
formationen, die nicht auch auf dem 
offiziellen Internetauftritt des Unter- 
nehmens frei zugänglich sind”. 

Unter Datenschutzgesichtspunkten 
gibt das BSI Unternehmen und Be- 
hörden die Empfehlung, „zumindest 
die wichtigen Teile der öffentlichen 
Internetpräsenz nicht exklusiv in 
sozialen Medien geschehen zu las- 
sen“ und die Erläuterung, warum für 
Tweet-Buttons zumindest eine Zwei- 
Klick-Lösung vorzusehen ist. Sowohl 
hinsichtlich der privaten als auch der 
dienstlichen Nutzung durch Unter- 
nehmensangehörige macht es Vor- 
schläge für Policies, die als Leitfäden 
zu verstehen und entsprechend anzu- 
passen sind. 
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Landesbeauftragter für Datenschutz 
und Informationsfreiheit Baden- 
Württemberg” 


Die weitestgehende Aktivität in Rich- 
tung Twitter hat der Landesbeauftragte 
für Datenschutz und Informationsfrei- 
heit Baden-Württembergs, Stefan Brink, 
entwickelt. Er führte eine Datenschutz- 
folgenabschätzung nach der Europäi- 
schen Datenschutzgrundverordnung 
(DSGVO) durch. Darin betont er seine Mit- 
verantwortung, erklärt aber, dies bedeu- 
te nicht, „dass der LfDI die Datenschutz- 
konformität der Produkte der Twitter Inc. 
bestätigt oder garantiert”. Doch will er 
„zukünftig auf die Anbieter einwirken, 
ihre Angebote transparenter und daten- 
schutzfreundlicher zu gestalten”. Zudem 
ist erüberzeugt, dass mit seinem Twitter- 
Account „eine große Gruppe von Nutzern 
erreicht, begleitet und beraten wird, die 
aufanderen Wegen, z. B. über die Home- 
page oder mithilfe von Broschüren etc., 
nicht erreichbar ist“. 

Zwar ist ihm bewusst, dass seine 
Twitternutzung „die Menge der Daten, 
die von der Twitter Inc. verwendet und 
ausgewertet werden“, erhöht, in der 
Risikoanalyse kommt er allerdings zum 
Schluss, dass die Schäden durch den 
LfDI-Account nur unwesentlich ver- 
größert werden. An dieser Stelle kann 
hinterfragt werden, wie groß die Grup- 
pe wirklich ist, die der LfDI in Baden- 
Württemberg über sein Twitter-Angebot 
erreicht. Schließlich nutzte 2017 laut 
ARD/ZDF-Onlinestudie'* nur 1 % der 
Gesamtbevölkerung Twitter täglich und 
3 % wöchentlich. 2018 ist nur die wö- 
chentliche Nutzung auf 4 % gestiegen. 
Der Twitter-Account des LfDI hat derzeit 
knapp 3.000 Follower. Überzeugen kann 
deshalb lediglich das Alternativange- 
bot, die Tweets auch auf der LEDI-Home- 
page lesen zu können. 

Abschließend kommt die Daten- 
schutzfolgeabschätzung zu folgendem 
Ergebnis: „Die Twitternutzung durch 
den LfDI ist angesichts der beschrie- 
benen Risiken und verbindlich vorge- 
sehenen Maßnahmen vertretbar. Der 
LfDI verpflichtet sich, die weitere Ent- 
wicklung zu beobachten und die hier 
vorgenommene Prüfung regelmäßig, 
mindestens einmal im Quartal, zu wie- 
derholen und ggfls. fortzuentwickeln.” 
Also bleibt abzuwarten, wie diese re- 
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gelmäßige Überprüfung und die Fort- 
entwicklung aussieht. Auf Twitter wird 
sicher darüber berichtet. 


Resümee 


Anhand der Übersicht über die Grund- 
funktion von Twitter und die Ausschnit- 
te aus der Twitter-Datenschutzrichtline 
konnte aufgezeigt werden, dass Twitter 
beliebige Datenauswertungen zu eige- 
nen Gunsten vornimmt. Darüber hinaus 
wurde dargestellt, welche Auswertun- 
gen Dritte vornehmen können. Weitere 
Konsequenzen der Nutzung des öffent- 
lichen Datenpools konnten nur ange- 
deutet werden. Der Überblick über Stel- 
lungnahmen einschlägiger Behörden 
zeigt deren generelle Hilflosigkeit im 
Umgang mit dem global agierenden So- 
cial-Media-Konzern. Selbst der baden- 
württembergische LfDI fordert in seiner 
Richtlinie zur Nutzung Sozialer Medien 
durch öffentliche Stellen'® angesichts 
„offensichtlicher datenschutzrechtli- 
cher Defizite bei einer Reihe Sozialer 
Netzwerke“ lediglich „Datensparsam- 
keit“, „Aufklärung“ und „einen Hinweis 
auf die eigenverantwortliche Nutzung“. 

Aber warum nutzen Öffentliche Stel- 
len und speziell Datenschutzbeauftrag- 
te überhaupt Twitter? Eine Analyse von 
Zahlen und Effekten in einer wirklich 
kritischen Datenschutzfolgenabschät- 
zung steht noch aus. Über Alternativen 
zu Twitter soll zu einem späteren Zeit- 
punkt berichtet werden. 
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Frans Valenta 


Messenger - Eine kleine Orientierungshilfe 


Jedes Mal, wenn ich neue Bekannt- 
schaften mache, werde ich nach meiner 
Handynummer gefragt und gebeten, 
mich einer WhatsApp-Gruppe anzu- 
schließen. Mein Einwand, dass Whats- 
App alles andere als datenschutzfreund- 
lich ist, und ich lieber per E-Mail oder 
SMS kommuniziere, wird meistens mit 
einem Kopfschütteln und dem Hinweis 
abgewehrt, dass bei WhatsApp doch al- 
les kostenlos ist - selbst das Telefonie- 
ren oder der Videochat. Und überhaupt 
würden doch fast alle Menschen Whats- 
App nutzen... So ist das also: „kosten- 
los“ und „weit verbreitet” schlägt „Da- 
tenschutz”. 


WhatsApp 


Ich habe mir daraufhin Gedanken ge- 
macht, wie WhatsApp genutzt werden 
kann, ohne die eigene wahre Identität 
preiszugeben. Für die Umsetzung wer- 
den zwei Smartphones benötigt. In dem 
ersten Smartphone muss keine SIM- 
Karte enthalten sein und es darf dar- 
auf keine Kontakt-Datei existieren. Das 
zweite Smartphone mit Prepaid-Karte 
ermöglicht die Bereitstellung einer Te- 
lefonnummer. Diese Telefonnummer, 
die möglichst noch niemand kennen 
sollte, dient zur eindeutigen Identifi- 
kation bei der Registrierung.' Nachdem 
WhatsApp auf dem Smartphone Nr. 1 
heruntergeladen und installiert worden 
ist, möchte das Programm nach dem 
ersten Start die Erlaubnis des Zugriffs 
auf Kontakte, Fotos, Medien und Datei- 
en auf dem Gerät. Immerhin gibt es die 
Auswahloption „Jetzt nicht”. Dann folgt 
im nächsten Schritt die Verifikation mit 
der Eingabe der Telefonnummer von 
Smartphone 2. Im Prinzip würde esauch 
mit einer Festnetznummer funktionie- 
ren, sofern eine SMS empfangen werden 
kann. Nach dem Absenden der Tele- 
fonnummer auf Smartphone 1 schickt 
WhatsApp eine SMS mit einem sechs- 
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stelligen Freischaltcode auf Smartpho- 
ne 2. Mit der Eingabe dieses Codes auf 
Smartphone 1 ist nach Eingabe eines re- 
alistisch klingenden Phantasienamens 
das Gerät freigeschaltet und zeigt den 
Status-Datenschutz, der auf „Nur teilen 
mit...” eingestellt werden sollte. Unter 
dem Menüpunkt „Chats“ fordert Whats- 
App dazu auf, Freunde einzuladen. Mit 
dem runden Button unten rechts geht 
es weiter und hier lässt sich über „Neu- 
er Kontakt” eine (zunächst anonyme) 
Verbindung zu Personen und Gruppen 
herstellen. Ganz anonym zu bleiben ist 
auf Android- und iPhone-Smartphones 
wegen der Existenz der Werbe-ID? und 
Device-ID? etwas problematisch. Diese 
Kennnummern werden vom Hersteller 
des jeweiligen Betriebssystems zuge- 
teilt, also von Google oder Apple. Da 
WhatsApp Geld mit Werbung verdient, 
ist das Interesse an effektiver und per- 
sonalisierter Werbung groß. Deswegen 
möchte WhatsApp seine Nutzer mög- 
lichst eindeutig identifizieren können. 
Mit Hilfe der bereitgestellten IDs gelingt 
das iin den meisten Fällen. Aber zumin- 
dest die Werbe-IDs lassen sich zurück- 
setzen und alle Apps vergessen schlag- 
artig die Vorlieben.‘ 

Wer wissen möchte, was WhatsApp an 
Berechtigungen einfordert, sollte sich 
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das Programm „Exodus“ anschauen. Die 
Software von Meteo France ist für And- 
roid als App verfügbar und Anfragen zu 
den Berechtigungen von verschiedenen 
Apps können auch über den Browser 
auf dem Desktop durchgeführt werden. 
Exodus listet 54 Berechtigungen auf, 
von denen 12 als gefährlich eingestuft 
werden.’ 

Aber was bedeutet schon „Gefahr“, 
wenn es doch so schön bequem ist? 
WhatsApp hat eine große Fangemeinde 
und diese betrachtet „ihr“ Programm als 
alternativlos. Dabei gibt es nicht nur seit 
den Enthüllungen von Edward Snowden 
eine sehr große Zahl von Messenger, die 
ein höheres Maß an Sicherheit und Pri- 
vatsphäre bieten. 


Telegram 


Mir wurde oft „Telegram“ als Alternati- 
ve empfohlen. Telegram - ursprünglich 
in Russland entwickelt - hat sich nach 
der Übernahme von WhatsApp durch 
Facebook und den damit verbundenen 
Datenschutzbedenken der Nutzerge- 
meinde als kostenlose Alternative etab- 
lieren können. Inzwischen gibt es nach 


Ein Ausschnitt aus der Übersicht von exodus-privacy.eu.org 
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Firmenangaben 150-200 Millionen Nut- 
zer.° Auf der Webseite befindet sich kein 
Impressum, aber im F.A.Q.-Bereich gibt 
es den Hinweis, dass die Entwicklung 
in Dubai stattfindet.’ Der Dienst wirbt 
mit Sicherheit und Transparenz, aber 
bei dem Versuch, genaue Fakten zusam- 
menzutragen, zeigt sich, dass hinter 
Telegram ein undurchsichtiges Netz aus 
zum Teil in Steueroasen niedergelasse- 
nen Briefkastenfirmen existiert.° 

Telegram wird zwar als sicher bewor- 
ben, dennoch gelang es dem Bundes- 
kriminalamt den Messenger zu hacken.’ 
Die Ende-zu-Ende-Verschlüsselung des 
Messengers ist nämlich nur aktiv, wenn 
man sie manuell einschaltet. Die Ein- 
stellungen sind jedoch nicht leicht zu 
finden. Für Gruppenchats funktioniert 
die Verschlüsselung gar nicht. 

Bei einer Veranstaltung mit 1500 Stu- 
denten und 7500 Online-Zuschauern in 
Innsbruck am 18. Oktober 2018 äußer- 
te sich der live zugeschaltete Edward 
Snowden: „Benutzt Signal, statt Tele- 
gram oder die Facebook Messenger, ver- 
schlüsselt eure E-Mails, benutzt offene 
Software statt Windows. Das rettet Euch 
nicht, macht Euch aber zu einem schwe- 
rer zu treffendem Ziel”. !° 


Signal 


Die empfohlene Alternative Signall!, 
die für alle gängigen Betriebssysteme 
verfügbar ist, wird von Open Whisper 
Systems entwickelt, die unter Anderem 
von dem ehemaligen WhatsApp-Mitbe- 
gründer Brian Acton'? über die Signal- 
Stiftung’? mitfinanziert wird. Sie erfor- 
dert wie WhatsApp zur Benutzung zwin- 
gend eine Telefonnummer. Um trotzdem 
Anonymität zu gewährleisten, wird von 
Signal statt der Telefonnummer der an- 
onyme mathematische Fingerabdruck 
an den Server zum Abgleich geschickt. 
Es ist das Ziel der Betreiber, selbst keine 
Kenntnis davon zu haben, wer mit wem 
wann worüber kommuniziert. Der Quell- 
code ist öffentlich über GitHub verfüg- 
bar. Die Ende-zu-Ende-Verschlüsselung 
gilt als sehr sicher“ und wurde 2014 
auch von WhatsApp übernommen. Eine 
Kommunikation zwischen WhatsApp und 
Signal ist jedoch nicht möglich. Bei der 
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Installation wird ein Zugriff auf das Ad- 
ressbuch verlangt, um andere Nutzer zu 
finden. Wird der Zugriff verweigert, muss 
die Telefonnummer des Empfängers per 
Hand eingetippt werden und sie kann 
nicht in der Kontaktliste gespeicht wer- 
den. Die Macher von Signal geben an, 
dass Kontaktdaten grundsätzlich ano- 
nymisiert (gehasht) auf Signals Servern 
abgeglichen und anschließend wieder 
gelöscht werden. 

Signal kann verschlüsselte Textnach- 
richten, Dokumente, Fotos, Videos, 
Kontaktinformation eins zu eins oder 
in Gruppennachrichten übertragen. Die 
Nachrichten werden über die in den USA 
befindlichen Server von Open Whisper 
Systems geleitet. Durch die Verschlüs- 
selung können die Inhalte jedoch vom 
Betreiber nicht gelesen werden und sind 
auch vor Behörden sicher. Leider setzen 
die Desktop-Versionen wegen des Tele- 
fonnummern-Zwangs ein Smartphone 
voraus, mit dem sie beim ersten Start per 
QR-Code gekoppelt werden. 


Threema 


Eine weitere Messenger-Option ist 
Threema." Die kostenpflichtige App aus 
der Schweiz ist nur für Smartphones 
und Tablets verfügbar. Der Bezeichnung 
Threema ist das Akronym EEEMA, die 
Abkürzung für End-to-End-Encrypting 
Messaging Application, vorausgegangen, 
wobei die drei E durch den Begriff Three 
(Englisch für drei) ersetzt wurden."° 

Wie bei Telegram führte 2014 die 
Übernahme von WhatsApp durch Face- 
book sprunghaft zu einer Zunahme der 
Nutzerzahlen, die im Januar 2018 nach 
Angaben des Unternehmens bei 4,5 Mil- 
lionen lag. 

Beim ersten Start erstellt Threema 
zur Identifizierung ihrer Nutzer eine 
ID. Die App benötigt weder eine Tele- 
fonnummer noch den Zugriff auf das 
Adressbuch. Sicherheitsaspekte stehen 
im Vordergrund und daher werden keine 
Metadaten erhoben und Kontakte nur 
anonymisiert abgeglichen. Eine Ende- 
zu-Ende-Verschlüsselung für Chats, 
Gruppen-Chats und Audio-Telefonie 
steht standardmäßig zur Verfügung. 


Bei einem Sicherheits-Audit haben Prü- 
fer der IT-Firma Cnlab Security AG fest- 
gestellt, dass die Verschlüsselung keine 
Schwächen aufweist.'” Zur Sicherheit 
trägt auch die Tatsache bei, dass Three- 
ma seine Server in der Schweiz betreibt. 
Allerdings ist der Quellcode nicht frei 
zugänglich. 


WIRT 


Wer eine sichere Software sucht, die 
auf Open Source basiert, nicht zwingend 
eine Telefonnummer benötigt und für 
fast alle Betriebssysteme auf Mobilge- 
räten und Desktop verfügbar ist, wird 
bei Wire'® fündig. Wire gibt es in Ausfüh- 
rungen für den kostenlosen privaten Ge- 
brauch und kostenpflichtige Nutzung für 
Unternehmen. Die Betreiberfirma Wire 
Swiss GmbH sitztin der Schweiz. Die soft- 
waretechnische Weiterentwicklung des 
Messengers findet in Berlin statt. Nach 
Angaben des Unternehmens werden in 
der EU befindliche Server von Amazon 
verwendet. Das Entwicklungsteam be- 
steht aus ehemaligen Mitarbeitern von 
Apple, Skype, Nokia und Microsoft. 

Bei der Registrierung müssen ein 
Name, ein Benutzername und eine E- 
Mail-Adresse oder eine Telefonnum- 
mer angegeben werden.'” Optionale 
Adressbuch-Daten liegen nicht auf 
den Wire-Servern, sondern werden nur 
flüchtig zwischengespeichert?. Aus den 
Adressbüchern werden keine weiteren 
Informationen wie Namen, Adressen, 
Geburtsdaten, Notizen usw. extrahiert. 

Zur Verschlüsselung macht Wire auf 
der Webseite folgende Angaben: 

„Iextnachrichten und Bilder werden 
mit dem Proteus Protokoll Ende-zu-Ende 
verschlüsselt. Proteus basiert auf dem 
Axolotl-Ratchet und Pre-Keys, die für 
mobiles und Multi-Device-Messaging 
optimiert wurden. Sprach- und Videoan- 
rufe verwenden den WebRTC-Standard. 
Wires Verschlüsselung arbeitet trans- 
parent im Hintergrund und muss nicht 
erst eingeschaltet werden - sie ist stets 
aktiviert.“ 

Die Verbreitung von Wire ist derzeit 
noch gering, obwohl die Software in 
Messenger-Vergleichslisten im Inter- 
net gute Beurteilungen bekommt, zum 
Beispiel bei Wikipedia?! oder bei secure- 
messagingapps.?? 
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Freunde und Bekannte bei der Online- 
Kommunikation von Datenschutz und 
Sicherheit zu überzeugen ist mühsam, 
aber die notwendige Aufklärung trägt 
dazu bei, eine höhere Sensibilisierung 
bezüglich der Datensammelwut belieb- 
ter Messenger zu erzeugen und die In- 
stallation eines zusätzlichen sichereren 
Messengers anzustoßen. 


1 https://fag.whatsapp.com/de/android/ 
20970873/ und https://faq.whatsapp. 
com/de/iphone/20902747/ 
?category=5245245 


2 https://mobilsicher.de/hintergrund/ 
smartphone-nutzer-sollten-jetzt-ihre- 
werbe-id-aendern 


3 https://mobilsicher.de/hintergrund/ 
was-sind-identifier-android und https:// 
support.apple.com/de-de/HT204073 


4 https://www.checked4you.de/handy- 
telefon/apps/app-und-ad-tracking-für- 
android-und-ios-deaktivieren-351073 


5 https://reports.exodus-privacy.eu.org/ 
en/reports/57651/ 


6 https://www.netzpiloten.de/telegram- 
messaging-app-vertrauen/ 


7 https://telegram.org/fag#q-what-is- 
telegram-what-do-i-do-here 


8 https://www.gruenderszene.de/ 
allgemein/telegram-berlin-oder-nicht 


9 https://mobilsicher.de/kategorie/ 
whatsapp-und-messenger/messenger- 
telegram-ist-unsicher 


10 https://www.t-online.de/digital/ 
id_84641084/edward-snowden-warnt- 
vor-facebook-messenger-und-telegram. 
html 


11 https://signal.org 


12 https://www.heise.de/newsticker/ 
meldung/Krypto-Messenger-WhatsApp- 
Mitgruender-investiert-50-Millionen- 
Dollar-in-Signal-Stiftung-3975878.html 


13 https://en.wikipedia.org/wiki/Signal_ 
Foundation 


14 https://eprint.iacr.org/2016/1013.pdf 
15 https://threema.ch/de 
16 https://de.wikipedia.org/wiki/Threema 


17 https://www.heise.de/security/ 
meldung/Threema-Audit-abgeschlossen- 
Ende-zu-Ende-Verschluesselung-ohne- 
Schwaechen-2868866.html 


18 https://wire.com/de/ 


19 https://wire-docs.wire.com/download/ 
Wire+Privacy+Whitepaper.pdf 


20 https://www.datenschutzbeauftragter- 
info.de/wire-sichere-skype-und- 
whatsapp-alternative/ 


21 https://de.wikipedia.org/wiki/Liste_ 
von_mobilen_Instant-Messengern 


22 https://www.securemessagingapps.com 


Gemeinsame Pressemitteilung zum ePrivacy-Gespräch beim Bundesministerium für 
Justiz und Verbraucherschutz vom 22.01.2019 


ePrivacy: EU-Regierungen wollen elektronische 
Nachrichtenzensur einführen 


Die Bundesregierung tritt nach eige- 
nen Aussagen in den Verhandlungen 
zur ePrivacy-Verordnung für Verbes- 
serungen des letzten Vorschlags der 
österreichischen Ratspräsidentschaft 
ein, wie die Begrenzung der zweck- 
fremden Nutzung von Kommunikati- 
onsdaten oder datenschutzfreundliche 
Voreinstellungen in Browsern. 

Einige EU-Regierungen wollen nun 
aber mit der Einführung der ePrivacy- 
Verordnung Internetverbindungen, 
E-Mails und Whatsapp-Nachrichten 
auf unzulässige Inhalte durchsuchen 
lassen. Zum Auffinden von „kinderpor- 
nografischen“ und „terroristischen” 
Inhalten sollen Internetprovider, E- 
Mail-Anbieter und Anbieter von Messa- 
ging-Diensten nach eigenem Ermessen 
die Internetnutzung und versandte 
Nachrichten ihrer Kunden verdachtslos 
und flächendeckend filtern dürfen. Das 
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in der geplanten ePrivacy-Verordnung 
vorgesehene Telekommunikationsge- 
heimnis soll insoweit aufgehoben wer- 
den. Durch nationale Gesetze könnte 
die Nachrichtenzensur zudem verpflich- 
tend eingeführt werden. 

In einem Gespräch auf Einladung 
des Bundesjustizministeriums am 
21.01.2019 in Berlin kritisierten Bür- 
gerrechts- und Datenschutzorganisatio- 
nen einen solchen Versuch der Prinzipi- 
enumkehr scharf. Mit Blick auf übliche 
Verschlüsselungstechnologie wurden 
die insbesondere von Großbritannien 
vorangetriebenen Zensurpläne, mit 
denen sich am Donnerstag eine Ratsar- 
beitsgruppe befassen soll, als wirkungs- 
los bezeichnet. 

Auch die Ratspläne zur ausufernden 
Sammlung und Weitergabe von Posi- 
tions- und Verbindungsdaten durch 
Telekommunikationsanbieter sowie 


zur Zulassung einer Durchleuchtung 
des Surfverhaltens für Werbezwecke 
(Tracking) werden kritisch gesehen. 
Stattdessen forderten die Vertreter der 
Zivilgesellschaft ein Recht auf daten- 
schutzfreundliche Browsereinstellun- 
gen, einen besseren Schutz vor Daten- 
klau und Abhören sowie einen zügigen 
Abschluss der verschleppten ePrivacy- 
Reform. 

Das federführende Wirtschaftsminis- 
terium stellte ein baldiges Nachfolge- 
gespräch in Aussicht. Es wurde zuletzt 
öffentlich vielfach kritisiert, dass bisher 
fast nur mit Wirtschaftsverbänden über 
die ePrivacy-Reform gesprochen wurde. 
Begrüßt wird auch, dass geprüft wird, 
ob die im Rat eingebrachten Formulie- 
rungsvorschläge der Bundesregierung 
veröffentlicht werden. 

Der Wille scheint in der Regierung 
weiterhin groß zu sein, die ePrivacy- 
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Verordnung zu einem Abschluss zu 
bringen. Aus Sicht der Verbände ist das 
überfällig. Dabei ist auf eine bessere Be- 
rücksichtigung digitaler Bürgerrechte, 
wie vom Europäischen Parlament gefor- 
dert, zu hoffen. 


Roland Appel 


An dem Gespräch teilgenommen hat- 
ten Vertreter von Arbeitskreis Vorrats- 
datenspeicherung, Berufsverband der 
Datenschutzbeauftragten Deutschlands 
(BvD) e.V., Deutsche Vereinigung für 
Datenschutz (DVD) e.V., die Daten- 


War es das, Frau Voßhoff? 


Vier Jahre lang hat die Bundesbe- 
auftragte für den Datenschutz nichts 
Nennenswertes gesagt. Sie hat zu neu- 
en Fahndungsinstrumenten wie der 
Gesichtserkennung in der Videotech- 
nik geschwiegen, hat zu den Skanda- 
len von Google, Facebook und Cam- 
bridge Analytica kein Wort gesagt. Sie 
hat erst kürzlich einen der übelsten 
Gesetzentwürfe des Bundesverkehrs- 
ministers durchgewunken, der sämt- 
liche Kennzeichen von Fahrzeugen 
erfassen und verdachtsunabhängig 
abgleichen soll, obwohl es ein eindeu- 
tig einfacheres und mit keinen derart 
gravierenden Grundrechtseingriffen 
verbundenes Mittel gäbe: die blaue 
Plakette für umweltfreundliche Fahr- 
zeuge. Sie war auf internationalen 
Konferenzen der Datenschützer nicht 
vorhanden und hat - anstatt Bürger 
und Wirtschaft über die Datenschutz- 
Grundverordnung aufzuklären - sich 
einen Tag vorher belanglos dazu geäu- 
ßert und dann wieder zum Büroschlaf 
in ihr Bonner Büro zurückgezogen. 

Eine größere Versagerin im Amt hat 
die Bundesrepublik in keinem öffent- 
lichen Amt in den letzten vierzig Jah- 
ren ertragen müssen. Eigentlich müss- 
te sie wegen Arbeitsverweigerung ver- 
klagt und ihr die Ruhestandbezüge 
wegen Untätigkeit entzogen werden. 
Und nun, wenige Tage vor Ende ihrer 
Amtszeit, gab sie ein Interview, in 
dem sie die Automobilkonzerne da- 
für verantwortlich macht, dass China 
mit der Elektromobilität einen Über- 
wachungsstaat etabliert, der seines- 
gleichen sucht. Es trifft alles zu, was 
sie im Interview mit Heise kritisiert 
(https://heise.de/-4258216). Es ist 
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auch seit mindestens drei Jahren be- 
kannt und von den Automobilkonzer- 
nen und deren Datenschutzbeauftrag- 
ten immer wieder an die Datenschutz- 
beauftragte herangetragen worden. 
Auf dem letzten Nachhaltigkeitsdialog 
eines Stuttgarter Herstellers im No- 
vember 2018 erst war der chinesische 
Überwachungsstaat Thema, NGO und 
kritische Sachverständige trugen 
ihre Besorgnis über das Social Credit 
System Chinas auf Einladung des Vor- 
stands vor. All dieses ist der Daten- 
schutzbeauftragten seit langem be- 
kannt - ebenso wie der Marktmecha- 
nismus und die Rechtslage, die jedem 
Unternehmen keine andere Entschei- 
dungsmöglicheit gibt, als sich an chi- 
nesische Gesetze zu halten. 

Anstatt folgenloses Konzernbashing 
zu betreiben, hätte Frau Voßhoff in 
der Sache hilfreich sein können, in- 
dem sie bei der Bundesregierung ge- 
nau in dieser Frage interveniert hätte. 
Sie hätte dafür sorgen können, dass 
die Kanzlerin diese Überwachungs- 
probleme beim pompösen Staatsbe- 
such des chinesischen Parteichefs Xi 
anspricht, in den Korb der Menschen- 
rechte aufnimmt. Denn nur, wenn an 
anderer Stelle Sanktionen drohen - 
z.B. bei der Frage der Investition oder 
dem Kauf deutscher Unternehmen - 
können Menschenrechtsverletzer wie 
Xi überzeugt werden, dass nicht alles 
gemacht werden darf, was sie gerne 
möchten. 

Aber auch hier war Frau Voßhoff 
ebensowenig präsent wie auf den IT- 
Gipfeln der Bundesregierung, zu dem 
sie sich auch einmal hätte kritisch 
äußern können - schließlich wollen 


schützer Rhein Main, Digitalcourage, 
Digitale Gesellschaft, Forum Informati- 
kerInnen für Frieden und gesellschaftli- 
che Verantwortung (FIfF) e.V., ISOC.DE, 
Netzwerk Datenschutzexpertise. 


nach wie vor Bundesregierung und 
IT-Wirtschaft die persönlichen Daten 
der Bürgerinnen und Bürger zur Beute 
machen, fabulieren vom „Datenschatz 
heben” = in die Privatsphäre des Ein- 
zelnen einbrechen. Dann kündigt 
die Bundesregierung gleich mal eine 
zentrale Patientendatenhaltung für 
alle Bundesbürger an. Zu „Smart Ci- 
ties“, mit Überwachung an jeder Stra- 
ßenlaterne und jeder E-Ladestation, 
„Smart Homes” mit „Alexas” Aufzeich- 
nung intimster Dialoge in Wohn- und 
Schlafzimmern, „Smart Kühlschrän- 
ken“ mit Überwachung unseres tägli- 
chen Konsums hätte sie vielleicht ein- 
mal das eine oder andere bewertende 
Wort verlieren können. Ihre Vorgän- 
ger, ob mit grünem, FDP-, SPD- und 
sogar CSU-Parteibuch haben davon in 
der Vergangenheit reichlich Gebrauch 
gemacht. 

Nicht Frau Voßhoff. Sie hat den 
Gegenwert für ihren Mandatsverlust 
im Bundestag einfach still abgeses- 
sen. Fünf Jahre hatte sie bekommen. 
Viereinhalb Jahre Schweigen - und 
nun eine theatralische Geste des Alar- 
mismus gegenüber Datenmissbrauch 
in einem Land, wo die Überwachung 
ohnehin System hat? Aber vielleicht 
dachte sie ja, wenn sie schweigt, 
kommt sie wegen guter Führung frü- 
her frei und in Rente. 

Si tacuisses - Ach, wenn sie doch 
geschwiegen hätte! (leicht überar- 
beitete Fassung eines Beitrags des 
Autors im Beueler Extradienst vom 
28.12.2018, www.extradienst.net). 
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Datenschutznachrichten 


Datenschutznachrichten aus Deutschland 


Bund 


Ulrich Kelber wird neuer 
BfDI 


Der frühere Justiz- und Verbraucher- 
schutzstaatssekretär des Bundes Ulrich 
Kelber löst Andrea VoRßhoff an der Spitze 
der Bundesdatenschutzbehörde ab. Mit 
der Mehrheit von 444 zu 176 Stimmen 
bei 37 Enthaltungen hat der Bundestag 
am 29.11.2018 den Diplom-Informatiker 
Ulrich Kelber zum neuen Bundesbeauf- 
tragten für den Datenschutz und die In- 
formationsfreiheit (BfDI) gewählt (vgl. 
DANA 2/2018, 102). Der SPD-Abgeord- 
nete löst damit Anfang 2019 die CDU- 
Rechtspolitikerin Andrea Voßhoff an der 
Spitze der unabhängigen Behörde mit 
Sitz in Bonn ab. Diese Behörde soll die 
Einhaltung der datenschutzrechtlichen 
Vorschriften in der Bundesverwaltung 
sowie im Post- und Telekommunikati- 
onsbereich kontrollieren und über Risi- 
ken im Umgang mit personenbezogenen 
Daten aufklären. Kelber selbst bezeich- 
nete als eine seiner wichtigsten Auf- 
gaben im neuen Amt, das europaweite 
Datenschutzrecht durchzusetzen: „Die 
europaweite Harmonisierung beim Da- 
tenschutz ist Voraussetzung dafür, auch 
den großen, nichteuropäischen Inter- 
netkonzernen auf Augenhöhe begegnen 
und unsere europäischen Datenschutz- 
standards durchsetzen zu können.” 

Ein weiteres bedeutendes Thema sei, 
dass der Staat seine Dienstleistungen 
verstärkt auch auf digitalen Wegen 
anbieten werde, was aber nicht dazu 
genutzt werden dürfe, noch mehr In- 
formationen über die BürgerInnen zu 
sammeln. Bei den Sicherheitsbehörden 
wolle er ein Auge darauf werfen, dass sie 
angesichts ihrer in den jüngsten Jahren 
massiv ausgebauten Befugnisse „vorbild- 
lich die Grundprinzipien des Datenschut- 
zes einhalten“. Auf EU-Ebene komme es 
darauf an, „den Datenschutz weiterzu- 
entwickeln und dabei Profiling und Sco- 
ring effektiv zu regulieren”. Hierzulande 
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müsse die Idee der Informationsfreiheit 
ausgebaut werden. 

Kelber gilt im Gegensatz zu seiner Vor- 
gängerin, die bei Amtsantritt keiner- 
lei Datenschutzkenntnisse vorweisen 
konnte und sich während ihrer gesamten 
Dienstzeit mit öffentlichen Äußerungen 
zurückhielt (siehe den Beitrag von Ap- 
pel, S. 27), bereits als Datenschutz- und 
Digitalexperte. Als parlamentarischer 
Staatssekretär machte er sich unter an- 
derem für einen klareren Rechtsrahmen 
beim Scoring zur Bonitätsprüfung sowie 
einfachere Datenschutzerklärungen für 
Webseiten oder Apps in Form sogenann- 
ter One Pager stark. 

Nach seinem Ausscheiden aus der Re- 
gierung kritisierte Kelber im März 2018 
Digitalstaatsministerin Dorothee Bär 
(CSU) scharf für ihre Ansicht, dass in 
Deutschland „ein Datenschutz wie im 
18. Jahrhundert” vorherrsche. Es gehe 
hier um den Grundrechtsschutz (DANA 
2/2018, 103). 2011 hatte er sich gegen 
einen Beschluss der SPD für die ver- 
dachtsunabhängige monatelange Vor- 
ratsdatenspeicherung ausgesprochen. 
Vier Jahre später stimmte er aber im 
Parlament mit der großen Koalition da- 
für, eine solche verdachtsunabhängige 
Protokollierung von Nutzerspuren mit 
verkürzten Speicherfristen wieder ein- 
zuführen. Dagegen sind zahlreiche Be- 
schwerden vor dem Bundesverfassungs- 
gericht anhängig. Kelber übernimmt von 
Voßhoff eine im Vergleich zu den Lan- 
desdatenschutzbeauftragten gut ausge- 
stattete Behörde. Mit Rückendeckung 
aus der CDU/CSU-Fraktion wurde die 
Zahl der Mitarbeitenden fast verdoppelt. 
Fraglich bleibt, ob dies genügt, um alle 
mit der Datenschutzgrundverordnung 
(DSGVO) verbundenen Herausforderun- 
gen zu meistern. 

Wegen des praktizierten Auswahlver- 
fahrens für den BfDI ernteten die Regie- 
rungsfraktionen Kritik. Jeweils im Wech- 
sel darf eine an der Regierung beteiligte 
Fraktion einen Kandidaten benennen. 
Im Fall von Kelber waren die Sozialde- 


mokraten an der Reihe. Malte Engeler, 
Richter am Schleswig-Holsteinischen 
Verwaltungsgericht, verwies darauf, 
dass nach Artikel 53 DSGVO die Spitze 
einer Datenschutzaufsichtsbehörde „im 
Wege eines transparenten Verfahrens er- 
nannt” werden muss. Ein solches sei mit 
der bisherigen Praxis ohne öffentliche 
Stellenausschreibung samt entsprechen- 
der Auswahl- und Ernennungsvorgaben 
nicht gegeben. Der grüne Fraktionsvize 
Konstantin von Notz erklärte: „Das Ver- 
fahren ist das der großen Koalition. Wir 
hätten es uns auch gut anders vorstellen 
können. Den vorgeschlagenen Kandida- 
ten finden wir aber qut und halten ihn 
für fachlich geeignet.” Die SPD-Netzpo- 
litikerin Saskia Esken betonte, dass der 
Bundestag die Wahl in öffentlicher Sit- 
zung vornehme. Dies stelle „ein Höchst- 
maß an demokratischer Legitimation und 
Transparenz dar“. Wer solche Spitzenäm- 
ter besetzen solle, verabredeten die Par- 
teien und Fraktionen klar im Rahmen der 
Koalitionsverhandlungen. Generell halte 
sie Kelber für einen „hochkompeten- 
ten und hochengagierten, überzeugten 
Datenschützer”, mit dessen Einsatz ein 
hohes Durchsetzungsniveau mit „den 
Chancen der Datennutzung für sozialen, 
wissenschaftlichen und wirtschaftlichen 
Fortschritt“ versöhnt werden könnten 
(Krempl, Ulrich Kelber: Bundestag wählt 
Informatiker zum Bundesdatenschutz- 
beauftragten, www.heise.de 29.11.2018; 
Kurzlink: https://heise.de/-4235690; 
zum Bestellungsprozess siehe auch die 
Analyse und den Überblick bei https:// 
www.netzwerk-datenschutzexpertise. 
de/dokument/bestellung-oeffentlicher- 
datenschutzbeauftragter). 


Bund 


Verstärkte Überwachung von 
Ausreisepflichtigen geplant 


Das Bundesinnenministerium hat 
den Bundesländern Vorschläge für be- 
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schleunigte Abschiebungen abgelehn- 
ter Asylbewerbender unterbreitet. Die 
Maßnahmen sollten dazu dienen, die 
Menschen noch schneller und einfacher 
als bisher in das für das Asylverfahren 
zuständige EU-Land zu überstellen, wo 
sie ihr Asylverfahren betreiben könn- 
ten, so das Ministerium am 18.11.2018 
in Berlin. Auch gesetzliche Anpas- 
sungen seien denkbar. In dem Fünf- 
Punkte-Plan schlägt das Ministerium 
„Maßnahmen zur Beschleunigung und 
Erleichterung des Dublin-Verfahrens” 
vor. Der Auftrag resultiere aus dem Be- 
schluss des Koalitionsausschusses vom 
05.07.2018. 

Konkret geht es zum einen um eine 
nächtliche Meldepflicht für Ausreise- 
pflichtige, wenn diese Gemeinschafts- 
unterkünfte verlassen. Bei Verstößen 
könne Haft angeordnet werden, „sofern 
die Umstände des Einzelfalls hierdurch 
Fluchtgefahr annehmen lassen”. Wei- 
ter sollten Flüchtlinge in Aufnahme- 
und Rückführungszentren ihre Post 
nur noch mit einer Chipkarte abholen 
können. Bescheide sollten so tages- 
aktuell zugestellt werden können, ein 
Untertauchen solle entsprechend zügig 
festgestellt werden können. In Dres- 
den gebe es schon ein solches System. 
Zudem sollten „No-name-Buchungen” 
bei Abschiebeflügen sicherstellen, dass 
Plätze an Bord nicht unbesetzt blie- 
ben, wenn ein Flüchtling vor seiner 
Abschiebung untertauche. In den Ge- 
meinschaftsunterkünften sollten ferner 
Ärzte fest angestellt werden. Schließ- 
lich sei eine bundesweite Online-Über- 
stellungsplattform geplant, auf die alle 
beteiligten Behörden Zugriff hätten. 

Der Ministeriumssprecher betonte, „in 
Kürze“ werde ein Gesetzentwurf vorge- 
legt, der Regelungen zu Ausreisepflich- 
ten und zur Durchsetzung von Abschie- 
bungen enthalte. Die oben genannten 
Punkte seien aber nicht Gegenstand des 
Entwurfes mit dem Titel „Zweites Gesetz 
zur besseren Durchsetzung der Ausrei- 
sepflicht”. In den ersten zehn Monaten 
des Jahren 2018 wurden gemäß Presse- 
berichten 29.790 Wiedereinreisesper- 
ren gegen abgeschobene und kriminelle 
Flüchtlinge verhängt. Im Gesamtjahr 
2017 seien es 39.160 Sperren gewesen 
(Innenministerium will Abschiebun- 
gen beschleunigen, www.aachener- 
nachrichten.de 18.11.2018). 
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Bundesweit 


EU-Vertragsverletzungs- 
verfahren droht wegen 
Schlechtausstattung der 
Aufsicht 


In mehreren Bundesländern versin- 
ken die Datenschutzbehörden in Ar- 
beit, die mit der Einführung der Daten- 
schutz-Grundverordnung (DSGVO) am 
25.05.2018 über sie hereingebrochen 
ist. Die Wahrscheinlichkeit, dass die 
Aufsichtsbehörden über Selbstanzeigen 
bei der EU mitteilen, dass sie wegen feh- 
lender MitarbeiterInnen ihre Pflichten 
nicht erfüllen können, nimmt zu. 

Entsprechende Signale kommen aus 
Sachsen, Mecklenburg-Vorpommern 
und Hamburg. Die vom Bund gegrün- 
dete Stiftung Datenschutz erklärte, der 
hohe Beratungsbedarf für BürgerInnen 
und Unternehmen sei offenkundig, so 
Stiftungsvorstand Frederick Richter: 
„Die Unterausstattung der Datenschutz- 
Aufsichtsbehörden durch die meisten 
Länder ist ein Skandal.” Württembergs 
Datenschutzbeauftragter Stefan Brink 
geht davon aus, dass es ein Vertragsver- 
letzungsverfahren gegen Deutschland 
geben wird: „Die EU-Kommission ist bei 
Deutschland besonders sensibel und 
wird besonders schnell agieren, weil 
Deutschland beim Datenschutz Vorbild 
war.“ Der EU sei aus Gesprächen mit 
Datenschützern bereits bekannt, dass 
es in einigen Bundesländern Probleme 
gibt. Eine Sprecherin der Kommission 
teilte mit, es habe zahlreiche Gespräche 
und EU-Angebote zur Unterstützung 
der Behörden gegeben: „Die Kommissi- 
on überwacht nun die Anwendung der 
Verordnung in allen Mitgliedstaaten.” 

Die Aufsichtsbehörde in Baden-Würt- 
temberg hat mit dem Wirksamwerden 
der DSGVO mit nunmehr 53,5 Plan- 
stellen 60% Zuwachs bekommen, so 
Brink: „Aber auch wir haben allergröß- 
te Schwierigkeiten bekommen, in an- 
gemessener Zeit Fälle abzuschließen.” 
Zu den neuen Aufgaben komme hinzu, 
dass mehr Fälle gemeldet werden, die 
schon nach altem Recht problematisch 
waren. „Die Menschen beschweren sich 
schneller.” 

In einigen Bundesländern haben die 
Behörden bereits vor der DSGVO ih- 


ren Aufgaben nur sehr eingeschränkt 
nachkommen können und seitdem kei- 
ne oder kaum Verstärkung bekommen. 
Vor allem bei den Bundesländern im 
Osten und den Stadtstaaten ist das der 
Fall. Daran hat auch die DSGVO nichts 
geändert: Mecklenburg-Vorpommerns 
Datenschutzbehörde etwa hat nach wie 
vor 21 Mitarbeitende; nach Inkrafttre- 
ten der DSGVO wurden lediglich aus 
Aushilfsmitteln bezahlte Stellen in fes- 
te umgewandelt. Behördenleiter Heinz 
Müller hat deshalb einen Appell an die 
SPD-geführte Staatskanzlei geschickt: 
„Sie soll uns im Wege der Amtshilfe Per- 
sonal zur Verfügung stellen. Uns fehlen 
Juristen, Techniker und Sachbearbeiter, 
und das wird nicht vorübergehen.” Mit 
der Bitte um Abstellungen folgt Müller, 
früher parlamentarischer Geschäfts- 
führer der SPD-Fraktion, einem Rat des 
Landesrechnungshofs. Der Landtag hat- 
te zwar neun weitere Stellen bewilligt, 
aber sofort zur Überprüfung durch den 
Rechnungshof gesperrt. Müller kriti- 
siert: „Dessen Gutachten ist das Papier 
nicht wert.” Dort seiihm auch geraten 
worden, andere Datenschutzbeauftrag- 
te um Amtshilfe zu bitten. „Das ist so 
intelligent wie der Ratschlag an einen 
Bettler, einen anderen Bettler um Kredit 
zu fragen.” 

Referatsleiter Andreas Schneider vom 
Sächsischen Datenschutzbeauftragten 
erklärte, seine Behörde könne mit der 
„personellen Ausstattung nicht in der 
Fläche wirklich wirksam werden.” Zu 22 
bestehenden Vollzeitstellen waren 15 
Vollzeitstellen als zusätzlicher Bedarf 
ermittelt worden. Tatsächlich sei nun 
angestrebt, „dass wir mittelfristig vier 
Stellen erhalten.” Schneider spricht von 
„Jausenden Meldungen, die noch zu 
bearbeiten sind“. Eine weitere Digitali- 
sierung des Meldeprozesses bei Daten- 
schutzverstößen werde die Arbeit etwas 
vereinfachen, aber das grundsätzliche 
Problem zu knapper Ressourcen nicht 
lösen. Die Behörde teilt den BürgerIn- 
nen die Überlastung auch so offen mit. 
In einer Antwort mehr als zwei Monate 
nach der Anfrage heißt es: „Wegen der 
mit der (...) DSGVO einhergehenden Flut 
von Anfragen und Beschwerden (...) so- 
wie des (...) enormen Aufgabenzuwach- 
ses in Verbindungen damit, dass per- 
sonelle Verstärkungen meiner Behörde 
bislang immer noch ausstehen und mir 
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auch für die Zukunft nur in vollkommen 
unzureichendem Maße zugestanden 
worden sind, muss ich (...) mitteilten, 
dass es zu erheblichen zeitlichen Verzö- 
gerungen kommt.” 

Hamburg, wo Deutschlands derzeit 
sichtbarster Datenschutzbeauftragter 
Johannes Caspar tätig ist, berichtet von 
einer „seit einigen Jahren defizitären 
Ausstattungssituation“. Sein Referent 
Martin Schemm ergänzt: „Wir laufen 
den quantitativen und qualitativen 
Veränderungen des Aufgabenbereichs 
der Aufsichtsbehörde hinterher.” Die 
Folgen bekommen nicht nur die Bür- 
gerInnen zu spüren, so Mecklenburg- 
Vorpommerns oberster Datenschützer 
Müller: „Wir schaffen es auch nicht, 
Verwaltungsverfahren des Landes mit 
unserer Expertise zu begleiten. Esreicht 
gerade so für Stellungnahmen in Ge- 
setzgebungsverfahren.” Unangekün- 
digte Prüfungen auf eigene Initiative 
hin seien kaum vorstellbar. Zudem sei 
es fast unmöglich, Veranstaltungen für 
Multiplikatoren anzubieten, obwohl 
es dazu den Wunsch aus der Wirtschaft 
gebe: „Es gibt viele Unternehmen, die 
die Regeln der DSGVO einhalten wollen, 
aber Hilfe brauchen, die wir gerne leis- 
ten würden.” 

Die schlechte Ausstattung ist auch 
ein Standortnachteil, heißt es aus 
Sachsen: „Wir sind nicht nur Aufsichts- 
behörde, sondern auch Berater und 
Service-Dienstleister.” Aus der Landes- 
politik verspüren die DatenschützerIn- 
nen neben Unverständnis auch Unwil- 
len, für eine Aufgabe zu zahlen, die von 
der EU käme. Andere EU-Länder haben 
zum Teil andere Finanzierungsmodelle 
gefunden, so Brink: „Behörden finan- 
zieren sich aus den Bußgeldern selbst 
und können hohe Bußgelder erzielen. 
Deutsche Datenschutzbeauftragte ha- 
ben von Bußgeldverfahren nur den 
Aufwand, weil das Geld in den Landes- 
haushalt fließt.“ Das Modell aus dem 
Ausland kann auch zu Auswüchsen füh- 
ren. In Portugal wurde ein Bußgeld von 
400.000 Euro gegen ein Krankenhaus 
mit schlechtem Datenzugriffskonzept 
verhängt (DANA 4/2018, 210), was in 
Deutschland, so Brink, vielleicht zu ei- 
ner Geldbuße von 20.000 Euro führen 
würde: „Mittelfristig werden die unter- 
schiedlichen Maßstäbe auch zum The- 
ma auf EU-Ebene werden. Es ist auch 
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eine Frage ungleichen Wettbewerbs, 
wenn ein Automobilkonzern in Frank- 
reich eine massive Millionenstrafe zah- 
len muss und in Deutschland für den 
gleichen Verstoß mit einer besseren Er- 
mahnung davon kommt.” 

Noch will keine deutsche Daten- 
schutzbehörde offiziell in Brüssel erklä- 
ren, die Arbeit nicht zu schaffen. Aus 
Sachsens Datenschutzbehörde verlau- 
tet: „Eine Anzeige bei der EU wollen wir 
noch nicht anstrengen, sie wäre aber 
ultima ratio. Wir können nicht glau- 
ben, dass der Missstand von der Politik 
dauerhaft so vertreten wird und haben 
die Erwartung, dass wir mit unseren 
Argumenten überzeugen können.” 
Mecklenburg-Vorpommern wartet auf 
Reaktion auf das Schreiben. Hamburgs 
Datenschützer verfolgen gespannt die 
Haushaltsberatungen. Von dort heißt 
es: „Die nächste Datenschutzkonferenz 
im Frühjahr ist der Zeitpunkt, die Situ- 
ation zu analysieren und sich auf ein 
gemeinsames Vorgehen der Aufsichts- 
behörden zu verständigen. Hier liegen 
dann alle Handlungsoptionen auf dem 
Tisch“ (Wienand, Deutschland droht EU- 
Verfahren wegen Datenschutz, www.t- 
online.de 21.11.2018). 


Bundesweit 


Meldestelle für antisemiti- 
sche Vorfälle gegründet 


In Berlin hat sichnach dem Vorbild der 
Berliner Recherche- und Informations- 
stelle Antisemitismus (RIAS) ein Verein 
zur bundesweiten Koordinierung von 
Meldestellen judenfeindlicher Vorfälle 
gegründet. RIAS-Projektleiter Benjamin 
Steinitz erklärte: „Ziel des Bundesver- 
bandes RIAS ist die Sicherstellung einer 
bundeseinheitlichen und zivilgesell- 
schaftlichen Erfassung von antisemi- 
tischen Vorfällen.“ Man wolle mit dem 
neuen Meldesystem auch Vorkommnis- 
se erfassen, die keinen Straftatbestand 
erfüllen und auch solche, die nicht mit 
direkter Gewalt verbunden sind. „Viele 
Juden zeigen antisemitische Straftaten 
nicht bei der Polizei an, weil sie resig- 
niert haben.” Zudem sei die Zuordnung 
von Delikt und Täter häufig zweifelhaft. 
Damit in der polizeilichen Kriminalsta- 
tistik (PKS) ein Vorfall als antisemitisch 


aufgeführt wird, müssen die zuständi- 
gen PolizeibeamtInnen bei der Feststel- 
lung der Tat diese als antisemitisch de- 
finieren. Die Polizeistatistiken würden 
blinde Stellen aufweisen. 

Gemäß Steinitz wurden allein für 
Berlin 3.378 Vorfälle seit Anfang 2015 
registriert, als mit der Arbeit begon- 
nen wurde: „Oder anders ausgedrückt: 
Pro Tag sind es im Durchschnitt zwei 
bis drei Vorfälle. Deshalb wird von Ber- 
lin auch häufig als der Hauptstadt des 
Antisemitismus gesprochen.” Aus an- 
deren Teilen Deutschlands wurden im 
selben Zeitraum 797 Vorfälle registriert. 
Das Selbstverständnis von RIAS Berlin 
war es dabei immer, Ansprechpartner 
für Betroffene zu sein und sie dazu zu 
ermutigen, entsprechende Ereignis- 
se zu melden. Auch will man ihnen die 
Schwellenangst vor den Ermittlungsbe- 
hörden nehmen. „Damit haben wir gute 
Erfahrungen gemacht und viel Vertrau- 
en aufgebaut.” Deshalb soll dieses Sys- 
tem nun sukzessive auf ganz Deutsch- 
land ausgeweitet werden. Die Erfassung 
der Vorfälle soll sich an der Definition 
von Antisemitismus der Internationalen 
Allianz für Holocaustgedenken orien- 
tieren. Danach geht es um Worte oder 
Taten, die sich aus Hass gegen Juden 
speisen und sich auch gegen Personen 
und Institutionen richten können sowie 
gegen den Staat Israel. 

Neben dem RIAS-Projektleiter gehören 
der Geschäftsführer des Zentralrats der 
Juden, Daniel Botmann, sowie die stell- 
vertretende Geschäftsführerin des Ver- 
eins für Demokratische Kultur in Berlin 
(VDK), Anne Benzing, dem für zwei Jahre 
gewählten Vereinsvorstand des neuen 
Bundesverbandes RIAS an. Der Antisemi- 
tismusbeauftragte der Bundesregierung, 
Felix Klein, wird Schirmherr des Vereins. 

Zur Gründung des bundesweiten Mel- 
desystems am 31.10.2018 sagte Felix 
Klein: „Mit dem nun neu eingeführten 
bundesweiten, niedrigschwelligen Mel- 
desystem für antisemitische Vorfälle 
möchten wir die Dunkelziffer verklei- 
nern, die es derzeit noch gibt. Unser 
Anliegen ist es, die Realität von Antise- 
mitismus in Deutschland für die gesam- 
te Gesellschaft sichtbar zu machen und 
dadurch eine wichtige und empirisch 
belegte Grundlage für seine Bekämp- 
fung zu schaffen.” Das Bundesfamilien- 
ministerium beteiligt sich mit Mitteln 
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des Programms „Demokratie leben!” an 
der Finanzierung der Meldestelle. In 
Brandenburg und Bayern haben sich be- 
reits regionale Dokumentationsstellen 
für antisemitische Vorfälle gegründet. 
Auch die anderen Bundesländer sollen 
Kooperationspartner werden. 
Zentralratsgeschäftsführer Daniel 
Botmann sagte, dass die Einführung ei- 
ner bundesweiten Meldestelle ein wich- 
tiger Schritt zur Bekämpfung von Anti- 
semitismus sei: „Die offiziellen Statisti- 
ken spiegeln nicht die Wahrnehmungen 
innerhalb der jüdischen Community 
wider”. Für das Jahr 2017 zählte die PKS 
insgesamt 1.453 antisemitische Straf- 
taten. Die Täter wurden zu 90% dem 
rechtsextremen Spektrum zugeordnet. 
RIAS kritisiert, dass diese Zahlen nicht 
das Ausmaß antisemitischer Vorfälle in 
Deutschland widerspiegeln und die Tä- 
tergruppen ungenau erfasst werden. Fe- 
lix Klein ergänzte: „Aus den jüdischen 
Gemeinden höre ich, dass die subjekti- 
ve Wahrnehmung der Bedrohung durch 
muslimisch geprägten Antisemitismus 
größer ist, als es in der Kriminalsta- 
tistik zum Ausdruck kommt.” Deshalb 
müsse die Kriminalstatistik dringend 
überprüft, darüber hinaus aber auch 
ein niederschwelliges bundesweites Er- 
fassungssystem antisemitischer Über- 
griffe eingeführt werden (Balke, Aus 
der Anonymität holen, www.juedische- 
allgemeine.de 20.12.2018; Lombard, 
Bundesweite Meldestelle für antisemiti- 
scheVorfällegegründet, www.juedische- 
allgemeine.de 02.11.2018). 


Mehrere Bundesländer 


SID, BvD und Aufsichtsbe- 
hörden „gehen in die Schule” 


Die Initiative „Datenschutz geht zur 
Schule“ vom Berufsverband der Daten- 
schutzbeauftragten Deutschlands (BvD) 
e.V. erhielt anlässlich des Safer Internet 
Day (SID) am 29.01.2019 dadurch Un- 
terstützung, dass MitarbeiterInnen der 
Datenschutz-Aufsichtsbehörden von Ba- 
den-Württemberg, Bayern, Niedersachen 
und Rheinland-Pfalz im Folgemonat an 
den Schulen ihres jeweiligen Bundes- 
landes Unterrichtseinheiten für Kinder 
und Jugendliche zum sicheren Umgang 
mit persönlichen Daten im Internet an- 
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bieten. Gemäß dem Sprecher der BvD-In- 
itiative, Rudi Kramer, hilft diese Koope- 
ration, „vielmehr Heranwachsende beim 
Thema Datenschutz zu erreichen”. Sicher 
im Netz zu surfen sei eine Grundvoraus- 
setzung für junge Menschen, selbststän- 
dig und bewusst eigene Entscheidungen 
online treffen zu können. 

Stefan Brink, Landesbeauftragter für 
Datenschutz und Informationsfreiheit 
(LfDI) Baden-Württemberg, koordiniert 
auf Seiten der Aufsichtsbehörden das 
Projekt. Er wies drauf hin, dass allein 
in seiner Dienstelle sich mehr als zehn 
Mitarbeiterinnen und Mitarbeiter für die 
Unterrichtseinheiten gemeldet haben. 
Bei ihrem Unterricht greifen die Mitar- 
beitenden der Aufsichtsbehörden auf das 
BvD-Material von „Datenschutz geht zur 
Schule” zurück, dessen Weiterentwick- 
lung inhaltlich von der EU- Initiative 
klicksafe und finanziell von der DATEV- 
Stiftung Zukunft unterstützt wurde. Für 
Lehrkräfte, die selbst Aspekte des Da- 
tenschutzes im Unterricht behandeln 
oder die Einheiten vor- und nachbereiten 
wollen, liegt seit November 2018 die 3. 
neu überarbeitete Auflage des Lehrer- 
handbuchs „Datenschutz geht zur Schu- 
le” vor. Die Materialien können kostenlos 
unter www.bvdnet.de/datenschutz- 
geht-zur-schule heruntergeladen wer- 
den. Die EU-Initiative klicksafe or- 
ganisierte den Safer Internet Day am 
05.02.2019 unter dem Motto „Together 
for a better internet” und widmet sich 
im Schwerpunkt und unter dem Hashtag 
#lauteralshass gegen Hass im Netz. Seit 
2004 findet der Safer Internet Day auf 
Initiative der Europäischen Kommission 
jährlich an dem zweiten Tag der zweiten 
Woche des zweiten Monats statt (LfDI Ba- 
den-Württemberg, BayLDA, Lfd Nds, LfDI 
Rheinland-Pfalz, Safer Internet Day, BvD 
e. V., PE 30.01.2019, „Datenschutz geht 
zur Schule“ startet in neue Ära). 


Baden-Württemberg 
Erstes DSGVO-Bußgeld 


Wegen eines Verstoßes gegen die nach 
Art. 32 Datenschutz-Grundverordnung 
(DSGVO) vorgeschriebene Datensicher- 
heit hat die Bußgeldstelle des Landesbe- 
auftragten für Datenschutz und Informa- 
tionsfreiheit Baden-Württemberg (LfDI) 
am 21.11.2018 gegen einen baden-würt- 


tembergischen Social-Media-Anbieter 
eine Geldbuße von 20.000 € verhängt 
und nach Zusammenarbeit mit dem Un- 
ternehmen für Verbesserungen bei der 
Sicherheit der Nutzungsdaten gesorgt. 

Das Unternehmen hatte sich am 
08.09.2018 mit einer Datenpannenmel- 
dung an den LfDI Stefan Brink gewandt, 
nachdem es bemerkt hatte, dass durch 
einen Hackerangriff im Juli 2018 Daten 
von ca. 330.000 Nutzenden, darunter 
Passwörter und E-Mail-Adressen, ent- 
wendet und Anfang September 2018 ver- 
öffentlicht worden waren. Die Nutzenden 
waren durch das Unternehmen gemäß 
Art. 34 DSGVO unverzüglich und umfas- 
send informiert worden. Das Unterneh- 
men legte, so der LfDI, in vorbildlicher 
Weise sowohl Datenverarbeitungs- und 
Unternehmensstrukturen als auch seine 
eigenen Versäumnisse offen. Das Unter- 
nehmen hatte die Passwörter der Nutzen- 
den unverschlüsselt und unverfremdet 
(ungehasht), gespeichert. Die Klartext- 
passwörter wurden beim Einsatz eines 
sog. „Passwortfilters” zur Verhinderung 
der Übermittlung von Nutzerpasswörtern 
an unberechtigte Dritte genutzt. 

Das Unternehmen setzte innerhalb re- 
lativ kurzer Zeit Maßnahmen zur Verbes- 
serung der IT-Sicherheitsarchitektur um 
und brachte damit die Sicherung ihrer 
Nutzerdaten auf den aktuellen Stand der 
Technik. In der wissentlichen Klartext- 
Speicherung der Passwörter sah der LfDI 
eine Verletzung des Art. 32 Abs. 1 lit a 
DSGVO. Wegen der „sehr guten Koopera- 
tion“ mit dem LfDI wurde durch ihn ge- 
mäß Art. 83 Abs. 4 DSGVO eine „glimpf- 
liches” Bußgeld verhängt, so Brink: 
„Wer aus Schaden lernt und transparent 
an der Verbesserung des Datenschutzes 
mitwirkt, kann auch als Unternehmen 
aus einem Hackerangriff gestärkt her- 
vorgehen” (PE LfDI Baden-Württemberg, 
22.11.2018, LfDI Baden-Württemberg 
verhängt sein erstes Bußgeld in Deutsch- 
land nach der DS-GVO). 


Baden-Württemberg 


Studentische Verfassungs- 
beschwerde gegen Auswer- 
tung einer Backup-Datei 


Am 14.01.2019 reichte die Studieren- 
denvertretung der Albert-Ludwigs-Uni- 
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versität Freiburg (VS - Verfasste Studie- 
rendenschaft) Verfassungsbeschwerde 
gegen die Bundesrepublik Deutschland 
ein, um zu verhindern, dass das Bun- 
desamt für Verfassungsschutz (BfV) 
eine Sicherungsdatei der VS, auf der 
Daten von 25.000 Freiburger Studieren- 
den gespeichert sind, entschlüsselt und 
ausgewertet wird. Dem Landeskriminal- 
amt (LKA) Stuttgart war bei Durchsu- 
chungen im Rahmen des Verbots der In- 
ternetplattform linksunten.indymedia. 
org Ende August 2017, also 17 Monate 
zuvor, die verschlüsselte Sicherheits- 
kopie (Backup) aller Daten der VS in 
die Hände gefallen. Diese waren von 
einem Mitarbeiter der VS extern auf- 
bewahrt worden, was bisheriger Praxis 
entsprach. Der Versuch, die Auswertung 
der gesamten Daten der VS - wozu ne- 
ben den Daten aller Studierenden auch 
die der Beschäftigten sowie deren kom- 
pletter Mailverkehr, inklusive Anwalts- 
korrespondenz, gehören - gerichtlich 
zu unterbinden, war zwar vor dem Ver- 
waltungsgerichtshof Mannheim (VGH) 
weitgehend erfolgreich, jedoch zuletzt 
vor dem Oberverwaltungsgericht Ber- 
lin-Brandenburg (OVG) im vorläufigen 
Rechtsschutzverfahren gescheitert. Das 
OVG erklärte die Auswertung durch das 
Bundesamt für Verfassungsschutz für 
zulässig. 

Der Verfassungsschutzistin Amtshilfe 
für das LKA Baden-Württemberg mit der 
Entschlüsselung der Daten beauftragt 
worden. Es sei zwar unwahrscheinlich, 
dass sich auf dem genannten Datenträ- 
ger für das Verbotsverfahren relevante 
Daten befänden, so die Gerichte, es lie- 
ge aber dennoch im Bereich des Mögli- 
chen. Bisher hält die Verschlüsselung 
des Backups den Öffnungsversuchen 
stand. Die VS sieht aber mit jedem wei- 
teren Tag ein steigendes Risiko, dass 
die Daten durch den Verfassungsschutz 
entschlüsselt werden und dieser damit 
uneingeschränkten Zugriff zu den Da- 
ten erhält. 

Marah Mauermann, Vorstandsmit- 
glied der Studierendenvertretung, er- 
klärte: „Es gilt unbedingt zu verhindern, 
dass unsere vertraulichen Daten ent- 
schlüsselt werden. Es ist unser größtes 
Anliegen, die Daten der Studierenden 
zu schützen. Gegenüber uns wurde zu 
keiner Zeit ein Verdachtsmoment geäu- 
ßert, noch wurde unsere Körperschaft 
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des öffentlichen Rechts um Hilfe auf 
Amtswegen gebeten. Durch das anhal- 
tende Vorgehen und die Abweisung un- 
serer Anträge vor Gericht sehen wir die 
hart erkämpfte studentische Selbstver- 
waltung erheblich beschädigt. Wir hof- 
fen nun, dass das Bundesverfassungs- 
gericht den Studierenden ein Recht auf 
den Schutz ihrer Daten zuspricht.” 

Der die VS vor dem BVerfG vertretende 
Berliner Jurist Prof. Dr. Ralf Alleweldt 
ergänzte: „Es ist völlig unverhältnismä- 
ßig, einen so umfangreichen Datenbe- 
stand ohne jede dargelegte Beweisbe- 
deutung mit der pauschalen Begrün- 
dung durchzusehen, es könne nicht 
ausgeschlossen werden, dass sich dort 
verfahrensrelevante Daten befinden, 
zumal das Vereinsverbot bereits erlassen 
ist undssich auf eine frei zugängliche In- 
ternetplattform bezieht. Die Studieren- 
denschaft wird in ihren Rechten auch 
dadurch verletzt, dass ein Nachrichten- 
dienst, das Bundesamt für Verfassungs- 
schutz, mit der Auswertung beauftragt 
ist. Faktisch wird das Verbotsverfahren 
gegen die Internetplattform durch das 
Bundesamt gesteuert, das sich für seine 
Durchführung der Länderbehörden und 
seiner Polizeien bedient.” Dies sei ein 
Verstoß gegen das Gebot der Trennung 
zwischen Polizei und Nachrichtendiens- 
ten (Vorstand StuRa Uni Freiburg, PE 
18.01.2019, Angriff auf studentische 
Daten - Verfassungsbeschwerde einge- 
reicht; siehe auch Kauß, Fahndung ins 
Blaue hinein, Bürgerrechte&Polizei, CI- 
LIP 117, November 2018, 50-56). 


Baden-Württemberg 


Mannheimer Polizei instal- 
liert Videoüberwachung 
mit Mustererkennung 


Die Stadt Mannheim testet seit dem 
03.12.2018 am dortigen Hauptbahn- 
hof ein Videoüberwachungssystem 
mit Mustererkennung, mit dessen 
Hilfe Straßenkriminalität besser be- 
kämpft werden soll. Weitere Krimina- 
litätsbrennpunkte sollen innerhalb der 
kommenden Monate und Jahre folgen. 
Mannheim investiert 900.000 € für das 
System; das Land Baden-Württemberg 
beteiligt sich mit weiteren 700.000 €. 
Mannheims Erster Bürgermeister und 


Ordnungsdezernent Christian Specht 
(CDU) sagte, dass 72 Kameras verschie- 
dene Plätze in der Innenstadt und dem 
Stadtteil Neckarstadt fokussieren sol- 
len. Getestet werde das System inner- 
halb der kommenden fünf Jahre. 

Die Kameras erfassen die Bilder und 
schicken diese verschlüsselt zum poli- 
zeilichen Lagezentrum, wo sie mithilfe 
eines Algorithmus automatisiert aus- 
gewertet werden. Erkennt die Software 
hektische oder untypische Bewegun- 
gen, etwa ein Schlagen, Rennen oder 
Fallen, blinkt eine Lampe auf, und eine 
PolizistIn schaut sich die Szene am 
Bildschirm an. Im Bedarfsfall soll dann 
eine Streife in gut zwei Minuten vor Ort 
sein. Polizeipräsident Thomas Köber be- 
tonte, dass BeamtInnen auf Basis der 
Kamerabilder die Situation bewerten 
und über einen Einsatz entscheiden: „Es 
entscheidet nicht die Maschine, es ent- 
scheidet der Mensch.” 

Rechtliche Bedenken soll es angeblich 
nicht geben. Das jüngst geänderte Poli- 
zeigesetz des Landes stehe in Einklang 
mit der Anwendung der neuen Technolo- 
gie. Das bestätigte Baden-Württembergs 
Datenschutzbeauftragter Stefan Brink. 
Ihm zufolge gibt es zurzeit keinen An- 
lass zur Kritik: „Nach wie vor ist Grund- 
voraussetzung, dass der überwachte 
Bereich als Kriminalitätsschwerpunkt 
identifiziert wurde, was durch entspre- 
chende Zahlen nachzuweisen ist.“ Ba- 
den-Württembergs Innenminister Tho- 
mas Strobl (CDU) betonte: „Es geht nicht 
um Gesichtserkennung, sondern um das 
Erkennen von Verhaltensmustern.” Zu- 
dem würden private Bereiche wie Woh- 
nungen verpixelt. Man wolle auch kei- 
nen Datenvorrat anlegen. Daher werden 
Aufzeichnungen lediglich 72 Stunden 
aufbewahrt, dann vernichtet. 

Entwickelt wurde die Software vom 
Fraunhofer Institut für Optronik, Sys- 
temtechnik und Bildauswertung (IOSB) 
in Karlsruhe. Von einer finalen Anwen- 
dungsreife kann laut IOSB noch nicht 
die Rede sein. „Mit der Anwendung im 
öffentlichen Raum wird völliges Neu- 
land betreten.” Für Minister Strobl ist 
das Projekt dennoch jetzt schon „Pi- 
onierarbeit made in Baden-Württem- 
berg“. Die neue Kameraüberwachung 
sei kein Allheilmittel. Allerdings sei sie 
ein wichtiges Instrument im Kampf ge- 
gen die Kriminalität. 
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Auch nach Polizeiangaben hat das 
Verfahren seine Grenzen. Man wolle 
nun testen, wie gut bestimmte Verhal- 
tensmuster - etwa Schlagen oder Treten 
- überhaupt durch die entsprechenden 
Algorithmen erkannt werden können. 
Davon abgesehen gebe es auch noch die 
alte Diskussion, wonach sich im Zuge 
der Kameraüberwachung die kriminel- 
le Szene in andere Bereiche - nämlich 
nicht überwachte Gebiete - zurück- 
zieht. 

Der stellvertretende Fraktionsvorsit- 
zende der SPD im Stuttgarter Landtag, 
Sascha Binder meinte: „Wir stehen heu- 
team Anfang eines Entwicklungsprozes- 
ses und nicht am Beginn einer vollein- 
satzfähigen Videoüberwachung.” Mit 
Mustererkennung bei der Videoüberwa- 
chung wird in Deutschland auch in Ber- 
lin experimentiert, wo im Sommer 2018 
das kontrovers diskutierte Pilotprojekt 
zur automatischen Gesichtserkennung 
durch Überwachungskameras am Bahn- 
hof Südkreuz startete. Der im Oktober 
2018 veröffentlichte Abschlussbericht 
des zweiphasigen Tests bescheinigte 
den Systemen Erfolg. Bundesinnen- 
minister Seehofer (CSU) erklärte, die 
Technik habe sich „in beeindruckender 
Weise bewährt”, und drängte auf eine 
breitere Einführung in die Polizei-Arbeit 
(Mannheim testet verhaltensbasier- 
te Videoüberwachung, wwwr.heise.de 
03.12.2018, Kurzlink: https://heise. 
de/-4239279) 


Baden-Württemberg 


USB-Sticks in Uniklinik 
geklaut 


Der Klinikumsvorstand des Univer- 
sitätsklinikums Heidelberg musste be- 
troffenen PatientInnen mitteilen, dass 
Mitte November 2018 aus einem ver- 
schlossenen Büro drei USB-Sticks ent- 
wendet worden. Darauf befanden sich 
nach Angaben einer Kliniksprecherin 
Namen, Geburtsdaten und Informatio- 
nen zu Infektionserregern, die bei den 
üblichen Screeninguntersuchungen 
von PatientInnen festgestellt worden 
waren. Betroffen waren insgesamt 287 
Erkrankte. Diese wurden Mitte Januar 
2019 angeschrieben und über den Vor- 
fall informiert. Dass dies zwei Monate 
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dauerte, begründete die Klinikspre- 
cherin damit, dass zuerst zweifelsfrei 
rekonstruiert werden musste, welche 
Daten gestohlen wurden und welche 
nicht. Informiert wurden auch der Da- 
tenschutzbeauftragte des Klinikums so- 
wie der Landesdatenschutzbeauftragte, 
so wie es die EU-Datenschutzgrundver- 
ordnung vorschreibt. Außerdem erstat- 
tete die Verwaltung Strafanzeige gegen 
Unbekannt. 

Die Sprecherin des Universitätsklini- 
kums teilte mit, dass die Staatsanwalt- 
schaft das Verfahren inzwischen einge- 
stellt hat, da der Täter nicht ermittelt 
werden konnte. Man gehe inzwischen 
davon aus, dass es der Dieb tatsächlich 
nur auf die drei Datenträger im Wert von 
39,30 Euro abgesehen hatte. Dass die 
Daten in irgendeiner Weise missbraucht 
wurden, ist bisher nicht bekannt. Nur 
zwei der angeschriebenen Patien- 
ten hatten sich mit Rückfragen an die 
Rechtsabteilung des Universitätskli- 
nikums gewandt: „Wer hat heutzutage 
Interesse an drei USB-Sticks?”, fragte 
ein betroffener Patient; in seinen Au- 
gen kann es nur um die Daten gegangen 
sein: „Das kann man sicher als Druck- 
mittel gegen Einzelne verwenden.” 

Das Universitätsklinikum hat seine 
Mitarbeitenden nach dem Vorfall erneut 
darauf eingeschworen, „die Nutzung 
von USB-Sticks auf ein absolutes Min- 
destmaß zu reduzieren”. Sie werden 
angehalten, stattdessen für die Weiter- 
gabe von Daten das interne Kliniknetz 
zu verwenden, so die Kliniksprecherin: 
„Wir arbeiten an technischen Lösungen, 
dass die Sticks, wenn sie unbedingt 
genutzt werden müssen, nur mit Ver- 
schlüsselung funktionieren” (Sommer, 
USB-Sticks mit Infos über Patienten ge- 
stohlen, www.rnz.de 16.01.2019). 


Baden-Württemberg 


GFF erhebt Verfassungs- 
beschwerde gegen Staats- 
trojaner 


Die Gesellschaft für Freiheitsrech- 
te (GFF) hat gemeinsam mit mehreren 
unterstützenden Organisationen und 
Personen eine Verfassungsbeschwer- 
de gegen Baden-Württembergs über- 
arbeitetes Polizeigesetz eingelegt und 


konzentriert sich dabei auf die Rege- 
lung zum Staatstrojaner. Dafür würden 
IT-Sicherheitslücken ausgenutzt, bei 
denen die Ermittlungsbehörden das In- 
teresse hätten, dass diese nicht von den 
Herstellern geschlossen werden. Solan- 
ge solche Lücken nur der Polizei, nicht 
aber den Herstellern bekannt seien, 
könnten auch Cyberkriminelle darauf 
zugreifen. Das sei unvereinbar mit dem 
Schutzauftrag des Staates gegenüber 
den BürgerInnen. 

Unterstützt wird die GFF vom Chaos 
Computer Club Stuttgart, zwei Anwälten 
und Journalisten, einem Onlinehänd- 
ler und einer Einkaufsgesellschaft für 
Internet-Service-Provider. Diese sehen 
für sich die Gefahr von Cyberangriffen 
sowie für die Rechte von Dritten, bei- 
spielsweise MandantInnen. Formuliert 
wurde die Verfassungsbeschwerde von 
Tobias Singelnstein von der Ruhr-Uni- 
versität Bochum. Zur Finanzierung des 
Rechtsstreits ruft die GFF öffentlich zu 
Spenden auf. Insgesamt seien 25.000 
Euro nötig. 

Anfang Oktober 2018 hatte die GFF 
bereits angekündigt, gemeinsam mit 
Partnern Verfassungsbeschwerde gegen 
die Reform des bayerischen Polizeiauf- 
gabengesetzes (BayPAG) einzulegen. 
Auch dabei geht es u. a. um den Staats- 
trojaner. Die GFF will ebenso gegen 
ähnliche Regelungen in anderen Bun- 
desländern vor das Bundesverfassungs- 
gericht nach Karlsruhe ziehen (Holland, 
Staatstrojaner: Verfassungsbeschwerde 
gegen Baden-Württembergs Regelung, 
Kurzlink: https://heise.de/-4245429). 


Bayern 


Keine Weihnachtshilfe für 
Arme wegen „Datenschutz” 


RIL regte sich auf: „Kein Geschenke- 
Geld wegen Datenschutz! Kann das 
wirklich wahr sein? Ja, leider.” Viele 
arme Kinder im bayerischen Holzkir- 
chen sollten Weihnachten 2018 leer 
ausgehen. Seit 30 Jahren schenkte die 
Gemeinde den bedürftigen Familien ein 
Extra-Weihnachtsgeld, damit auch ihre 
Kinder etwas zum Auspacken bekom- 
men. Jetzt sollte damit Schluss sein. 
Als Grund wurde die neue Datenschutz- 
Grundverordnung angegeben. Wegen 
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den Bestimmungen der DSGVO dürfe das 
Sozialamt des Landratsamtes Miesbach 
Namen und Adressen von Sozialhilfe- 
leistungs-EmpfängerInnen nicht wie 
früher an das Holzkirchner Rathaus wei- 
tergeben. 

Entsprechend sauer reagierte der 
Bürgermeister der 16.000-Einwohner- 
Gemeinde im Landkreis Miesbach süd- 
lich von München, Olaf von Löwis: „Ein 
bürokratisches Monster (...), das an 
der Praxis vorbeigegangen ist.” Er kön- 
ne sich nicht vorstellen, dass einer der 
Menschen, die in der Vergangenheit 
Geld bekommen haben, ein Problem da- 
mit hätte, wenn die Gemeinde dessen 
Adresse wüsste. 

So leicht kann Datenschutz zum Buh- 
mann gemacht werden. Tatsächlich ver- 
steckte sich das Landratsamt nur mit 
seiner geistigen und sonstigen Faulheit: 
Die Rechtslage hat sich gemäß den So- 
zialgesetzbüchern (SGB) mit der DSGVO 
nicht geändert. Es wäre auch unbüro- 
kratisch möglich, nach alter und neuer 
Rechtslage die Daten auf Zustimmungs- 
basis weiterzugeben. Nur würde das 
voraussetzen, dass die BürokratInnen 
im Landratsamt tätig würden (Daten- 
schutz-Irrsinn in Bayern: Arme in Holz- 
kirchen kriegen kein Extra-Weihnachts- 
geld mehr, rtlnext.rtl.de 23.11.2018). 


Bayern 


DSGVO verhinderte auch 
Wunschzettel am Weih- 
nachtsbaum 


Die Umsetzung der seit Mai 2018 gel- 
tenden Datenschutz-Grundverordnung 
(DSGVO) treibt mitunter merkwürdige 
Blüten, so auch im fränkischen Roth: 
Kinder konnten 2018 keine Wunschzet- 
tel mehr an dem Weihnachtsbaum auf 
dem Christkindlesmarkt hinterlassen. 
Die Stadtverwaltung der Kreisstadtnahe 
Nürnberg hatte diese beliebte Advents- 
Aktion abgesagt. Die Stadt Roth be- 
fürchtete, mit den Wunschzetteln gegen 
die DSGVO zu verstoßen und damit eine 
Strafe zu riskieren, so der städtische 
Veranstaltungsorganisator Andreas Ko- 
wohl: „Früher haben Kinder ihre aus- 
gefüllten Wunschzettel einfach an den 
Christbaum gehängt.” Dort hingen die 
Wunschzettel dann den Advent über, 
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mitten auf dem historischen Marktplatz 
von Roth. „Die Zettel waren offen für je- 
den einsehbar”, nicht nur der Wunsch 
des Kindes, sondern auch Name, Alter 
und Adresse. „Das sind sensible Daten, 
die können wir nicht einfach so weiter- 
geben.” 

Genau das passierte in der Vergangen- 
heit mit den rund 4.000 Wunschzetteln, 
die in Roth jedes Jahr zusammen ka- 
men: Die Stadt hat die Zettel an diejeni- 
gen Partner und Sponsoren weitergege- 
ben, die bei der Erfüllung des jeweiligen 
Wunschs behilflich sein konnten. An 
die Buchhändler etwa, wenn ein Buch- 
wunsch auf dem Zettel stand. Oder an 
die Polizei, wenn der Herzenswunsch 
eine Fahrt im Polizeiauto war. Um in 
Sachen Datenschutz auch der neuen 
Verordnung gemäß auf Nummer sicher 
zu gehen, fragten die Marktveranstalter 
bei dem städtischen Datenschutzbeauf- 
tragten nach. Dessen Antwort: Um nicht 
gegen die DSGVO zu verstoßen, müssten 
die Kinder mehrere kleinbedruckte DIN 
A4-Seiten voller juristischer Formulie- 
rungen ausfüllen. Dies kommentierte 
Andreas Kowohl von der Stadt Roth: 
„Das können die Kinder ja gar nicht. 
Und das wollen auch wir nicht - wir wol- 
len eine unkomplizierte Lösung.” Bis 
zum Advent 2019 soll nun eine neue, 
datenschutzkonforme Lösung her, da- 
mit Rother Kinder im kommenden Jahr 
wieder Wunschzettel an den Christbaum 
hängen können, so Andreas Kowohl: 
„Denn die Aktion hat ja auch den Reiz 
des Marktes ausgemacht” (DSGVO sorgt 
für nächstes Chaos - Wunschzettel-Akti- 
on für Kinder zu Weihnachten gestoppt, 
wize.life 16.11.2918). 


Berlin 


Datenschutzbeauftragte 
angeblich für AfD-Lehrer- 
denunziation unzuständig 


Berlins Beauftragte für Datenschutz, 
Maja Smoltczyk, hat sich zwar gegen die 
Überwachung des AfD-Portals „Neutra- 
le Schule” ausgesprochen, meinte aber, 
diese falle nicht in ihre „Kontrolltätig- 
keit”. Dies ergibt sich aus einem Brief 
Smoltezyks an die Berliner Bildungs- 
senatorin Sandra Scheeres (SPD), die 
Smoltczyk um Prüfung gebeten hatte, 


ob Daten, die in dem Portal über Men- 
schen gesammelt werden, an Dritte 
weitergegeben würden. Auf der Inter- 
netseite können SchülerInnen und EI- 
tern mitteilen, wenn sich Lehrkräfte im 
Unterricht kritisch zur AfD äußern. Die 
Partei will damit nach eigener Darstel- 
lung zur Durchsetzung des Neutralitäts- 
gebots an den Berliner Schulen beitra- 
gen (DANA 4/2018, 196 ff.). Scheeres 
hatte dazu aufgerufen, bei dem Portal 
nicht mitzumachen. 

KritikerInnen sehen in dem Portal 
eine Plattform zur Denunziation. Auch 
die Datenschutzbeauftragte Smoltcezyk 
sieht diese Gefahr, argumentiert dem 
Bericht zufolge aber, dass Fraktionen 
im Abgeordnetenhaus bei der „Wahr- 
nehmung parlamentarischer Aufgaben” 
vom Berliner Datenschutzgesetz aus- 
genommen seien und so Personenda- 
ten verarbeiten dürften. Scheeres sieht 
dies anders: „Es ist doch keine parla- 
mentarische Aufgabe, wenn eine Par- 
tei einen elektronischen Pranger gegen 
Berliner Lehrkräfte betreibt.” Auch die 
Gewerkschaft Erziehung und Wissen- 
schaft (GEW) zeigte sich unzufrieden 
mit der Antwort Smoltczyks (Daten- 
schützerin will AfD-Lehrerportal nicht 
überwachen, www.berliner-zeitung.de 
18.11.2018). 


Berlin 


Benachrichtigung über 
Funkzellen-Abfragen 


Die Landespolitik führt in Berlin ein 
System ein, mit dem BürgerInnen künf- 
tig besser informiert werden, wenn ihre 
Handydaten in Ermittlungsverfahren 
erfasst wurden. Um Kriminelle zu fas- 
sen, wird oft überprüft, welche Handys 
in einer Funkzelle registriert waren. 
Betroffen sind von dieser Maßnahme 
auch die Handydaten Unverdächtiger. 
Justizsenator Dirk Behrendt (Grüne) 
wies am 13.11.2018 darauf hin, dass 
es bundesweit kein Transparenzsystem 
gibt. Berlin sage als erstes Bundesland 
zu, dass diejenigen, die wollen, infor- 
miert werden: „Wir betreten da bürger- 
rechtliches Neuland.” 2017 wurden in 
Berlin demnach mehr als 59 Millionen 
Datensätze erhoben, davon 15,2 Millio- 
nen Telefonate. 
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BürgerInnen können sich ab sofort in 
dem „Transparenz-System” nur mit ihrer 
Handynummer anmelden. Sie erhalten 
dann künftig per SMS nach Abschluss 
eines Ermittlungsverfahrens Bescheid, 
wenn die eigene Mobilfunknummer in 
der Abfrage erfasst wurde. Danach sol- 
len die Daten gelöscht werden. Bei der 
Funkzellenabfrage fordern die Ermit- 
telnden von den Telekommunikations- 
anbietern alle Handydaten an, die zu 
einem bestimmten Zeitraum im Bereich 
einer bestimmten Funkzelle registriert 
wurden, um Straftäter zu identifizieren. 
Das Verfahren ist umstritten, weil da- 
bei auch Mobiltelefone unbescholtener 
BürgerInnen ohne deren Wissen erfasst 
werden. 

Behrendt betonte, bei Demonstratio- 
nen gebe es keine Abfragevon Handyda- 
ten: „Wir sind ja hier nicht in Sachsen.” 
Gerechnet wird mit einer fünfstelligen 
Zahl von Anmeldungen. Im Probebe- 
trieb hatten sich 800 Testende angemel- 
det. 2017 hatten Berliner Strafverfolger 
474 Funkzellenabfragen durchgeführt. 
Die Abfrage wurde laut Justiz in 426 
Ermittlungsverfahren angewandt. Die 
Methode kam bei Ermittlungen zu Mord, 
Totschlag, Raubtaten oder schwerem 
Diebstahl zum Einsatz. 

Funkzellenabfragen sind in der Straf- 
prozessordnung geregelt. Sie müssen 
demnach von der Staatsanwaltschaft 
beantragt und von einem Richter ge- 
nehmigt werden. Laut Justiz gibt es in 
Berlin einige Tausend Funkzellen. Laut 
Richter Ulf Buermeyer, der das Sys- 
tem maßgeblich entwickelt hat, ist mit 
Benachrichtigungen frühestens Mitte 
2019 zu rechnen. Bislang sei nicht vor- 
gesehen, dass über die konkreten Er- 
mittlungen informiert wird, es solle nur 
ein Aktenzeichen angegeben werden: 
„Wir wollen die Menschen nicht beunru- 
higen“, wenn ihre Handydaten z. B. in 
Mordermittlungen erfasst wurden. Die 
BürgerInnen sollen aber erfahren, wann 
und wo ihr Gerät erfasst wurde. 

Die oppositionelle Berliner FDP-Frak- 
tion monierte, statt aufwendiger tech- 
nischer Verfahren müsste die mensch- 
liche Seite der Ermittlungen gestärkt 
werden. Gemäß Innenexperte Marcel 
Luthe werden mehr PolizistInnen ge- 
braucht, die Verdächtige observieren, 
statt die Bewegungsdaten von Millio- 
nen Unverdächtiger systematisch zu 
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erfassen (Funkzellen-Abfrage in Berlin 
soll transparenter werden, www.heise. 
de 13.11.2018). 


Berlin 


Mit Herzschlagdetektor 
gegen Ausbruchversuche 


Nach einem spektakulären Ausbruch 
aus dem Berliner Gefängnis Tegel An- 
fang Februar 2018 wird dort jetzt mit 
hochsensibler Technik kontrolliert. Der 
Berliner Justizsenator Dirk Behrendt 
(Grüne) teilte mit: „Der erste Herz- 
schlagdetektor ist im Einsatz”. In jedem 
Fahrzeug, das die Haftanstalt verlässt, 
erfasst das 150.000 € teure Gerät in 
Sekundenschnelle menschliche Geräu- 
sche. Damit soll erkannt werden, wenn 
sich ein Gefangener herausschmuggelt. 
Einem Gefängnisinsassen in Tegel war es 
gelungen, in einen Lieferwagen zu klet- 
tern und unbemerkt nach draußen zu 
kommen. Bei der Ausfahrt-Kontrolle des 
Fahrzeugs war der Ausbrecher nicht er- 
fasst worden. Später wurde er in Belgi- 
en festgenommen. Die Flucht hatte den 
Senator in Erklärungsnot gebracht. Es 
war das zehnte Mal innerhalb von sechs 
Wochen, dass Häftlinge aus einem Ber- 
liner Gefängnis entkamen. Alle kehrten 
wieder zurück oder wurden gefasst. 
Bis zum Jahresende 2019 sollen auch 
die Haftanstalten in Moabit, Plötzen- 
see, Heidering, die Jugendstrafanstalt 
sowie das Frauengefängnis ausgestat- 
tet werden. Insgesamt ist der Einsatz 
von zwölf Geräten geplant. Die Kosten 
wurden mit 1,8 Mio. € veranschlagt. 
Gemäß Behrendt lässt sich der Herz- 
schlagdetektor nur mit einem Training 
überlisten, bei dem das Herz kurzfristig 
aussetzt (Erster Herzschlagdetektor in 
Berliner Gefängnis, www.morgenpost. 
de 20.01.2019; Detektor gegen Ausbre- 
cher, SZ 21.01.2019, 8). 


Brandenburg 


Massive Kritik am Entwurf 
für das Polizeigesetz 


Brandenburg plant nach Nordrhein- 
Westfalen, Bayern, Baden-Württemberg 
und Hessen, sein Polizeigesetz (PolG) 


aufzubohren und den Ermittlern u. a. 
eine Befugnis zum Einsatz von Staats- 
trojanern für das Abhören von Messen- 
ger-Diensten und Internet-Telefonie 
einzuräumen. Sachverständige warnten 
am 07.01.2019 in einer Anhörung zu 
dem Gesetzentwurf im Innenausschuss 
des Landtags in Potsdam vor den verfas- 
sungsrechtlich problematischen Konse- 
quenzen. 

Fredrik Roggan von der Fachhoch- 
schule der Brandenburger Polizei kri- 
tisierte, dass die Lizenz zur Quellen- 
Telekommunikationsüberwachung 
mit einem Recht der Fahndenden zur 
„heimlichen Wohnungsdurchsuchung” 
einhergehe. Dies sei ein absolutes No- 
vum. Dabei handle es sich um „mehr als 
ein Betretungsrecht wie beim großen 
Lauschangriff”, sodass die Eingriffsin- 
tensität der an sich bereits fraglichen 
Methode noch erheblich erhöht würde. 
Es gebe keine Untersuchungen, wie sich 
ein solches Vorgehen auf Betroffene 
auswirken kann. Die psychologischen 
Folgen dürften wohl ähnlich wie bei ei- 
nem Wohnungseinbruchsdiebstahl sein. 

Der entsprechende 8 28e PolG-E sieht 
Einschnitte in das in Artikel 13 GG fest- 
gelegte Recht auf Unverletzlichkeit der 
Wohnung von Personen vor, die mit dem 
Brandenburg-Trojaner ausgespäht wer- 
den sollen. Es könnte erforderlich sein, 
Wohnungen zu durchsuchen, um die ins 
Visier genommenen IT-Systeme „etwain 
Schränken und ähnlichem” zu finden, 
meint die Regierung. Art. 13 GG erlaube 
aber „explizit keine heimlichen Maß- 
nahmen”, hielt Roggan dem entgegen. 
Solche würden „auch in keinem Kom- 
mentar erwogen”. Die Klausel wäre da- 
mit „deutlich und unumstritten verfas- 
sungswidrig”. Die Quellen-TKÜ soll sich 
auf laufende Kommunikation beschrän- 
ken. Zugleich heiße es, dass ein Zugriff 
auf das übrige System nicht zulässig sei. 
Roggan meinte, dass an diesem Punkt 
eine „saubere technische Trennung ge- 
rade nicht möglich ist“. Zudem gebe 
es auf Bundesebene bereits eine weite 
Befugnis zur Quellen-TKÜ zur Strafver- 
folgung, die sich nicht hinreichend von 
der in Brandenburg für die Gefahrenab- 
wehr geplanten abgrenzen lasse. 

Ulf Buermeyer von der Gesellschaft 
für Freiheitsrechte (GFF) warnte vor den 
gesellschaftlichen Folgen einer „Kultur 
der kalkulierten IT-Unsicherheit”. Er 
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verwies dabei auf den „Ausbruch des 
WannaCry-Trojaners”. Die NSA habe da- 
mals eine Sicherheitslücke in Windows- 
Betriebssystemen geheim gehalten, die 
daher nicht geschlossen werden konnte 
und später von Kriminellen für einen 
Erpressungs-Trojaner ausgenutzt wur- 
de. Der wenige Tage vor der Anhörung 
publik gewordene Datenklau bei Promi- 
nenten (siehe den Beitrag von Roth in 
diesem Heft) habe erneut gezeigt, „wel- 
ches Drohpotenzial und welche Gefahr 
von Sicherheitslücken und mangelhaf- 
ter IT-Sicherheit ausgeht”. 

& 28e des Entwurfs stelle in keiner 
Weise sicher, dass die „Überwachungs- 
software Mindestanforderungen an 
die Datensicherheit und Resistenz ge- 
gen Manipulationsversuche erfüllt”. Er 
schaffe vielmehr „ein massives Interes- 
se für Sicherheitsbehörden, die Cyber- 
Sicherheit weltweit zu schwächen”, um 
Systeme von Zielpersonen gegebenen- 
falls „hacken“ zu können. Es sei auch 
kaum ein Fall denkbar, in dem eine der 
Polizei bekannte terroristische Gefahr 
nicht bereits durch bestehende Kompe- 
tenzen abgewehrt werden könnte. 

Wie keine andere Ermittlungsme- 
thode erlaubt es die Quellen-TKÜ laut 
Buermeyer, „Menschen zum Objekt der 
Ausspähung zu machen“. Gegen keine 
andere Methode seien Verdächtige so 
wehrlos, denn der direkte Zugriff auf 
das System diene gerade dem Zweck, 
Verschlüsselungsverfahren zu umgehen 
und den informationellen Selbstschutz 
ins Leere laufen zu lassen. Keine ande- 
re Ermittlungsmethode biete so „ins- 
gesamt ein vergleichbares totalitäres 
Potential”. Die geplanten Regeln seien 
vor diesem Hintergrund „insgesamt ver- 
fassungsrechtlich wie rechtspolitisch 


deutlich misslungen“. 
Auch die brandenburgische Daten- 
schutzbeauftragte Dagmar Hartge 


meinte, dass vom Staatstrojaner enorme 
Gefahren ausgehen. Mit der damit ein- 
hergehenden Infiltration eines Smart- 
phones oder Rechners sei „die entschei- 
dende Hürde genommen, um das System 
insgesamt auszuspähen“. Generell weite 
der Regierungsentwurf polizeiliche Da- 
tenverarbeitungsbefugnisse deutlich 
aus und werfe „erhebliche freiheits- und 
datenschutzrechtliche Bedenken auf”. 
So solle etwa ein „nicht konkretisierter 
Gefahrenbegriff” als Eingriffsschwelle 
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für polizeiliches Handeln eingeführt wer- 
den. Sie habe „erhebliche Zweifel, dass 
diese Änderung noch verfassungsmäßig 
ist”. Es entstehe der Eindruck, „dass das 
Polizeirecht immer weiter dem Recht des 
Verfassungsschutzes angeglichen wer- 
den“ solle. Mit der „zeitlichen Vorverla- 
gerung der Eingriffsbefugnisse” werde 
zudem der betroffene Personenkreis 
enorm ausgeweitet. Die „Kumulation 
neuer Befugnisse und das Herabsenken 
der Einschreitschwellen“ erhöhen Hart- 
ge zufolge die Datenmengen auf ein Be- 
sorgnis erregendes Ausmaß. Dies werfe 
die Frage auf, „ob Brandenburg mit dem 
Gesetzentwurf nicht bereits nahe an eine 
flächendeckende vorsorgliche Speiche- 
rung aller für die Strafverfolgung oder 
Gefahrenprävention nützlichen Daten 
herankommt”. So würde etwa die erwei- 
terte, zweiwöchige Speicherfrist bei der 
Videoüberwachung „eine Vielzahl un- 
beteiligter Personen über einen langen 
Zeitraum betreffen, die sich lediglich 
an einem der benannten Orte aufhalten, 
ohne dass sie selbst im Zusammenhang 
mit der Straftat stehen oder selbst eine 
begangen hätten“. Auch der Einsatz von 
Bodycams müsse zunächst getestet und 
evaluiert werden. Das geplante „Pre- 
Recording” von 60 Sekunden in einem 
Kurzzeitspeicher sei verfassungsrecht- 
lich „äußerst problematisch”. 

Praktiker wie Nils Kößler aus dem Lan- 
despolizeipräsidium Hessen oder der 
frühere Berliner Polizeipräsident Klaus 
Kandt bezeichneten das Vorhaben dage- 
gen als zwingend erforderlich und aus- 
gewogen. Allenfalls seizu überlegen, ob 
die vorgesehene Schleierfahndung noch 
ausgeweitet werden sollte. Wenn diese 
auf einzelne Hauptverkehrswege be- 
schränkt bleibe, könne sich eine Lücke 
öffnen. Zudem sollte klargestellt wer- 
den, dass die Polizei auch virtuelle Wäh- 
rungen pfänden dürfe. Thomas Bode 
vom Bund deutscher Kriminalbeamter 
(BDK) meinte, dass der Entwurf zu stark 
auf die Terrorabwehr ausgerichtet sein 
könnte und größere Bedrohung für He- 
ranwachsende wie Crystal Meth außen 
vor lasse. Die Abgeordneten wollen das 
Dossier nun weiter beraten und vor ei- 
nem Beschluss voraussichtlich im März 
2019 gegebenenfalls noch mögliche 
Korrekturen festzurren. (Krempl, Poli- 
zeigesetz Brandenburg: Scharfe Kritik 
an heimlicher Wohnungsdurchsuchung, 


www.heise.de 09.01.2019, Kurzlink: 


https://heise.de/-4270176) 


Bremen 


Kirchenwahlen diesmal 
„hichtöffentlich” 


Im Bistum Hildesheim wurden am 10. 
und 11.11.2018 die Kirchenvorstände 
und Pfarrgemeinderäte neu gewählt. Da- 
mit waren auch die etwa 17.500 Katho- 
liken in den drei Gemeinden des Deka- 
nats Bremen-Nord aufgerufen, über die 
Zusammensetzung der Gremien für die 
kommenden vier Jahre zu entscheiden. 

Zu unterschiedlichen Interpretatio- 
nen haben die aktuellen Datenschutz- 
bestimmungen geführt. Die Kandidat- 
Innen mussten eine Erklärung für die 
Bekanntgabe ihrer Bewerbung abge- 
ben, die aber nur eine gemeindeinterne 
Bekanntgabe der Namen erfasste. In 
einem Fall wurde die Bewerberliste aus 
dem Schaukasten der Gemeinde ent- 
fernt und dann im Kircheninnern aus- 
gehängt. Eine andere Gemeinde strich 
alle Wohnortangaben von den Listen. 
Dennoch fanden sich von zwei Pfarreien 
die Kandidatenlisten mit Fotos im Inter- 
net wieder. Die Richtlinien des Daten- 
schutzes hatten auch Auswirkungen auf 
die Bekanntgabe der Wahlergebnisse. 
Diese erfolgte in den Gottesdiensten, 
anschließend durch einen Aushang in 
den Kirchen. Eine öffentliche Bekannt- 
machung der Listen der Gewählten war 
zumindest in einer der drei Pfarreien 
nicht vorgesehen (Schwarz, Proble- 
me mit dem Datenschutz, www.weser- 
kurier.de 06.11.2018). 


Hessen 


Schwarz-Grün für 
IP-Tracking und mehr 
Videoüberwachung 


Nach rund vierwöchigen Verhandlun- 
gen haben CDU und Grüne in Hessen am 
19.12.2018 ihr Programm für die ge- 
plante zweite gemeinsame Regierungs- 
periode veröffentlicht. Ein Schwerpunkt 
des Koalitionsvertrags für die Zeit bis 
2023 liegt auf der Digitalisierung, in 
die eine Milliarde Euro fließen soll. Ein 
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grüner Anstrich ist in der Innen- und 
Rechtspolitik kaum erkennbar. 

Um die Sicherheit im Land zu stärken, 
sollen die hessische Justiz und Polizei 
„personell und sachlich ausgebaut und 
mit weiteren rechtlichen Möglichkeiten 
ausgestattet” werden. Dazu zählen die 
Koalitionspartner unter anderem das 
„IP-Tracking”, das sie einführen wollen, 
um „Anschlags- und Amokgefahren” 
besser verhindern zu können. Damit 
sollen verdächtige Internetnutzende 
identifizierbar werden. Ermittlungsbe- 
hörden versenden hierzu unter fremder 
Flagge eine E-Mail mit einer verdeckten, 
etwa in transparente Grafik-Pixel ein- 
gebauten Lesebestätigungsfunktion. 
Öffnet der Adressat die Nachricht, wird 
die aktuelle IP-Adresse des Internet- 
anschlusses übertragen. Schwarz-Grün 
will die Videoüberwachung „an beson- 
deren Gefahrenorten” wie Flughäfen, 
Bahnhöfen, Sportstätten, Einkaufszen- 
tren oder Packstationen ausbauen. Vor 
allem im Kampf gegen den Terrorismus 
müssten weitere gesetzliche Verschär- 
fungen geprüft werden. Das gelte vor 
allem im Umgang mit „Gefährdern”. 

Neue Instrumente wie spezielle Da- 
tenverarbeitungssysteme, die bereits 
vorhandene Informationen aus poli- 
zeilichen Datenbanken bündeln und 
auswerten, können laut Vertrag „bei 
der Bewältigung aktueller polizeilicher 
Herausforderungen von großem Nutzen 
sein“. Schwarz-Grün will an „hessen- 
DATA” der US-Firma Palantir zur Big- 
Data-Analyse festhalten. Nach einer 
Systemevaluierung soll allein geprüft 
werden, ob der Katalog der Straftaten, 
bei dem die Software eingesetzt werden 
kann, „angepasst werden soll”. 

Bürgerrechtsorganisationen wie z. B. 
Digitale Gesellschaft hatten im Vorfeld 
der Koalitionsverhandlungen dafür ge- 
worben, die mit der jüngsten Reform 
des Polizeirechts geschaffenen Lizenzen 
für den Einsatz des Hessentrojaners zur 
heimlichen Online-Spionage und elekt- 
ronischer Fußfesseln zurückzunehmen, 
da damit die Demokratie gefährdet wer- 
de. Davonistin dem Vertrag keine Rede. 
Beide Parteien wollen vielmehr „neue 
Befugnisse” für die Fahnder schaffen 
und dabei nur deren „Notwendigkeit 
nach den Prinzipien der Rechtsstaat- 
lichkeit, Verhältnismäßigkeit und Wirk- 
samkeit” prüfen. 
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Eine Ausstattungsoffensive soll die 
Ermittlungsbehörden „technisch auf 
ein noch höheres Niveau“ bringen. Dazu 
gehörten „Bodycams in allen Dienststel- 
len” sowie „weitere Distanz-Elektroim- 
pulsgeräte” („Taser”). Die Einsatzkräfte 
würden künftig „mit Tablets, Handys 
und modernen Software-Apps ausge- 
stattet, die Lagebilder, Ermittlungsins- 
trumente und vor allem Auskunftssyste- 
me beinhalten”. 

Die parlamentarische Kontrolle des 
Verfassungsschutzes soll gestärkt wer- 
den. Deutlich verkürzen will die Koali- 
tion bei dieser Behörde die bisherigen 
„pauschalen Einstufungsfristen für Ver- 
schlusssachen von 90 oder 120 Jahren”. 
Um Kinder im Internet besser zu schüt- 
zen, will die Koalition „den Strafrahmen 
für den Besitz von Kinderpornographie 
auf eine Freiheitsstrafe von bis zu fünf 
Jahren erhöhen“. Handy-Nutzende 
müssten beim Kauf von Prepaid-Karten 
oder Vertragsabschluss identifizierbar 
sein. Es soll eine Rechtsgrundlage ge- 
schaffen werden, um „grenzüberschrei- 
tend beweiserhebliche Daten“ sichern 
und im Ausland gespeicherte Informati- 
onen „auch in hier geführten Gerichts- 
verfahren verwerten zu können” (eEvi- 
dence). 

Die Koalition will das „Internet der 
Dinge“ sicherer machen sowie euro- 
paweit verpflichtende Mindestanfor- 
derungen an die IT-Sicherheit und ein 
gültiges Zertifizierungssystem voran- 
treiben. Die Anbieter softwarebasierter 
Alltagsgeräte sollen verpflichtet wer- 
den, regelmäßig Updates anzubieten. 
Schwarz-Grün erwägt eine „schwarze 
Liste“ über Hersteller und Produkte, 
„die korrumpiert wurden”. Dazu kom- 
men soll eine „Haftung der Verantwort- 


lichen für Produkte Künstlicher Intelli- 
genz“ (KI), wenn daraus „Rechtsverstö- 
ße resultieren“. 

CDU und Grüne sorgen sich um die 
Cybersicherheit: „Die Wettbewerbsfä- 
higkeit der hessischen Wirtschaft wird 
durch gezielte Spähangriffe fremder 
Nachrichtendienste und internationale 
Konkurrenz großen Gefahren ausge- 
setzt. Daher gründen wir eine schnelle 
Notfall-Eingreiftruppe (Computer Emer- 
gency Response Team), um bei digitalen 
Sicherheitsvorfällen schnell reagieren 
zu können.” Zudem ist ein landeseige- 
nes IT-Sicherheitsgesetz geplant. 

„Hate-Speech treten wir konsequent 
entgegen, stärken die Arbeit des Demo- 
kratiezentrums und schaffen ein ‚Netz- 
werk Prävention’.” „Extremisten jedwe- 
der Art treffen in Hessen auf unseren 
erbitterten Widerstand.” Bedeutende 
Ermittlungsverfahren wegen Hasskri- 
minalität im Netz sollen landesweit 
durch Spezialisten der Zentralstelle zur 
Bekämpfung der Internetkriminalität 
(ZIT) bearbeitet werden, die zu diesem 
Zweck „personell und materiell aufge- 
stockt wird”. Mit einem Modellprojekt 
unter dem Motto „Verfolgen statt nur 
Löschen“ will die Koalition „einer zu- 
nehmenden Verrohung der Debatten- 
kultur entschieden entgegentreten”. 

Digitalisierung bedeutet laut Koaliti- 
onsvertrag ferner, „die informationelle 
Selbstbestimmung der Menschen zu 
sichern, den Datenschutz zu stärken 
und Verbraucherrechte auch online 
zu gewährleisten”. Digitale Techniken 
müssten „vom Nutzen für die Menschen 
gedacht” werden. Dies fange „bei der 
Versorgung mit schnellem Internet 
und Mobilfunk an“ und reiche „über die 
technische und inhaltliche Vorberei- 
tung unserer Schulen und Hochschulen 
auf die digitale Welt bis hin zu einer öf- 
fentlichen Verwaltung”, die für Bürger- 
Innen bequem sowie barrierefrei rund 
um die Uhr online übers Web und mobil 
erreichbar sei. 

Langfristig strebt Schwarz-Grün „ein 
möglichst flächendeckendes 5G-Netz” 
und einen „Ausbau der WLAN-Verfüg- 
barkeit” an. „In einem ersten Schritt 
werden wir freien Internetzugang in 
allen öffentlichen Gebäuden des Lan- 
des ermöglichen“. Bis 2025 soll Hessen 
„durch die Umsetzung der Gigabitstra- 
tegie“ flächendeckend mit leistungsfä- 
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higen Infrastrukturen versorgt sein. Um 
diese Vorhaben zu verwirklichen, ist in 
dem Land erstmals ein von der CDU ge- 
führtes eigenständiges Digitalministe- 
rium vorgesehen. 

Die Koalition will Unternehmensgrün- 
der fördern und eine Startup-Initiative 
landesweit umsetzen. Mit einem Wachs- 
tumsfonds für Wagniskapital soll Hes- 
sen „Zentrum für Innovation und Ent- 
wicklung” werden. Die „Maßnahmen zur 
Unterstützung der Kultur- und Kreativ- 
wirtschaft” soll mit einer neuen „Indie- 
Games-Messe” für kleine und unabhän- 
gige Spieleentwickler verstärkt werden. 
Der Markt für Online-Glücksspiel in 
Deutschland soll „endlich rechtlich wie 
faktisch kohärent“” reguliert werden. 

Den öffentlich-rechtlichen Rund- 
funk bezeichnet die Koalition als „un- 
verzichtbare Säule unserer freiheitlich 
demokratischen Grundordnung“. In 
einer digitalen Medienwelt, in der die 
Abgrenzung zwischen Fakten und Mei- 
nungen, Inhalt und Werbung und die 
Beurteilung der Glaubwürdigkeit von 
Quellen immer schwieriger werde, kom- 
me ihm eine bedeutsame Rolle zu: „Gäbe 
es den öffentlich-rechtlichen Rundfunk 
nicht, man müsste ihn angesichts der 
Zustände in der Welt und der Anfein- 
dungen von Links- und Rechtsaußen 
erfinden.” CDU und Grün wollen daher 
eine Bestands- und Entwicklungsga- 
rantie für ARD, ZDF und den Deutsch- 
landfunk. Als „dritte Säule“ gehöre dazu 
ein „öffentlich-rechtliches und zeitlich 
unbegrenztes, werbefreies Telemedien- 
angebot im Internet” (Krempl, Hessen: 
Schwarz-Grün will IP-Tracking, Taser 
und mehr Videoüberwachung, www. 
heise.de 20.12.2018, Kurzlink: https:// 
heise.de/-4257763). 


Hessen 


Verdacht der Datenweiter- 
gabe von Polizei an Rechts- 
extreme 


Nach der Suspendierung von fünf 
Frankfurter Polizeibeamten, die einen 
rechtsradikalen Chat betrieben hatten 
und die verdächtigt werden, interne Da- 
ten aus dem Polizeicomputer über eine 
türkischstämmige Anwältin herausge- 
geben zu haben, wurde Anfang 2019 ein 


38 


weiterer Fall bekannt, in dem ein Poli- 
zist unrechtmäßig interne Daten an ein 
bekennendes Mitglied einer Neonazi- 
Vereinigung herausgab. Ermittelt wird 
gegen einen Polizisten aus Osthessen, 
dem vorgeworfen wird, eine Bekannte 
aus der gewaltbereiten Neonazigruppe 
„Aryans” mit Daten versorgt zu haben. 
Dies wurde in einem Prozess gegen zwei 
hessische „Aryans”-Mitglieder bekannt, 
der am 10.01.2019 in Sachsen-Anhalt 
begonnen hat. 

Die „Aryans” stehen der bundesweit 
organisierten gewaltbereiten Neona- 
zivereinigung „Division Braune Wölfe” 
nahe. Den beiden Angeklagten wird vor- 
geworfen, am 01.05.2017 in Halle (Saa- 
le) mit ihrem Auto wehrlose Menschen 
gejagt und mit Steinen und Flaschen 
beworfen zu haben. Carsten M. soll zwei 
Wanderer mit einem Starkstromkabel 
auf den Kopf geschlagen und schwer 
verletzt haben. Bei den Ermittlungen 
gegen eine der beiden Angeklagten 
wurde auch deren Handy ausgewertet. 
Darin findet sich neben Nazipropaganda 
und Ausführungen zu den Taten in Halle 
(„Zecken verdroschen“”) auch ein Chat- 
verlauf, in dem sie einen ihr bekannten 
hessischen Polizeibeamten zweimal da- 
rum bittet, aus dem internen polizeili- 
chen Informationssystem Daten für sie 
abzurufen. Der Polizist kam der Bitte 
gemäß Stand der Ermittlungen nach. 
Um welche Informationen es sich ge- 
nau handelt, die der Polizist herausgab, 
wurde in Halle nicht bekannt. 

Laut Gewerkschaft der Polizei (GdP) 
wechselte der Polizist vor zwei Jahren 
nach Niedersachsen. Den hessischen 
Sicherheitsbehörden lägen keine Er- 
kenntnisse vor, dass der betroffene 
Beamte aus rechtsextremistischen Mo- 
tiven gehandelt habe. Die Auswertung 
eines Chatprotokolls zwischen dem Tat- 
verdächtigen und einer weiteren Person 
ließen vielmehr darauf schließen, dass 
der Beamte diese Person vor den Rechts- 
extremisten warnen wollte. 

Dieser Vorgang erinnert an die Vor- 
fälle einer rechtsextremistischen Chat- 
gruppe im 1. Polizeirevier in Frankfurt/ 
Main rund um die Frankfurter Anwäl- 
tin Seda Basay-Yıldız. Sie hatte im Au- 
gust 2018 einen Drohbrief bekommen, 
unterzeichnet mit dem Namen „NSU 
2.0”. Die Anwältin hat fünf Jahre lang 
im NSU-Prozess die Angehörigen eines 


Mordopfers vertreten. Sie verteidigt 
auch in Islamisten-Prozessen. In dem 
Drohschreiben an sie waren höchst- 
persönliche Daten wie der Name ihrer 
kleinen Tochter sowie ihre Privatadresse 
verzeichnet, Daten, die es nur im Ein- 
wohnermeldeamt oder im Polizeicom- 
puter gibt. Der Briefschreiber drohte ihr 
an, man werde ihre zweijährige Tochter 
„abschlachten“”. So hieß es in dem Brief: 
„Verpiss dich lieber, solange du hier 
noch lebend rauskommst, du Schwein!” 

Die Ermittlungen in diesem Fall ha- 
ben ergeben, dass die privaten Daten 
der Anwältin in einer Frankfurter Poli- 
zeiwache aus dem Computer abgerufen 
worden waren, obwohl es dafür keiner- 
lei Notwendigkeit gab. Die fünfverdäch- 
tigen Polizisten tauschten offenbar wo- 
chenlang rassistische Nachrichten aus. 
Sie schickten sich Hitler-Bilder und Ha- 
kenkreuze per Computer. Gegen die vier 
Polizisten und eine Kollegin wird wegen 
Volksverhetzung ermittelt. Sie sind vom 
Dienst suspendiert. Auch gegen einen 
weiteren Polizisten in Marburg laufen 
Ermittlungen. Die Ermittlungen schie- 
nen keine nachhaltige abschreckende 
Wirkung zu haben: Mitte Januar 2019 
wurde bekannt, dass Basay-Yıldız am 
20.12.2018 erneut ein Fax bekam, das 
sich wieder auf interne Daten aus dem 
Polizeicomputer stützt, obwohl die Po- 
lizisten aus der Frankfurter Wache vom 
Dienst suspendiert waren. Es nennt den 
Namen des Vaters, des Mannes und der 
Tochter der Anwältin - alles Menschen, 
die unter ihrer Adresse gemeldet sind. 
Nach ihrer Aussage sind dies alles An- 
gaben, die „man nicht über die sozialen 
Netzwerke herausfinden” kann: „Und 
mein Vater ist 79; derist nicht auf Face- 
book oder sonstwo aktiv.” Der Faxbrief 
bezieht sich klar auf die Suspendierung 
der Frankfurter Polizisten: „Dir hirnto- 
ten Scheißdöner ist offensichtlich nicht 
bewusst, was du unseren Polizeikolle- 
gen angetan hast! Allerdings kommt es 
jetzt richtig dicke für dich, du Türken- 
sau! Deine Scheiß (Name der Tochter) 
reißen wir den Kopf ab ... und der Rest 
eurer Dönercrew wird ebenfalls kom- 
petent betreut.” Wieder steht am Ende 
NSU 2.0. Basay-Yıldız bekam daraufhin 
wieder Besuch von der Polizei, die ihr 
versicherte, es bestehe keine Gefahr für 
sie. Gleichzeitig haben sie ihr angebo- 
ten, einen Waffenschein zu besorgen, 
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falls sie sich zu ihrem eigenen Schutz 
bewaffnen wolle, was sie kommentierte: 
„Ich soll mich bewaffnen? In Deutsch- 
land? Nur, um meiner Arbeit als Anwäl- 
tin nachzugehen?” Sie dachte, für den 
Schutz der BürgerInnen sei die Polizei 
zuständig. Damit nicht genug. Im Ja- 
nuar 2019 erhielt die Anwältin weitere 
Faxe im selben Stil und mit rassistischen 
Schmähungen, die augenscheinlich von 
demselben Absender stammen. 

Ob zwischen den Frankfurter Polizis- 
ten und dem in dem Prozess in Halle be- 
kannt gewordenen Fall eine Verbindung 
besteht, ist unklar. Die innenpolitische 
Sprecherin der Grünen-Bundestagsfrak- 
tion Irene Mihalic forderte umfassende 
Aufklärung. Der Fall zeige erneut, dass 
solche Vorfälle nicht vorschnell als 
Einzelfälle bezeichnet werden dürften 
(Ramelsberger, Hilfe aus dem Polizei- 
computer, SZ 11.01.2019, 5; Decker, Hat 
Polizist Neonazis mit Daten versorgt? 
Kieler Nachrichten 12.01.2018, 4; Ra- 
melsberger, „Kopf ab“ SZ 14.01.2019, 
1; Steinke, Hessens Polizei in neuer Be- 
drängnis, SZ 30.01.2019, 1). 


Niedersachsen 


Hoheitliche Videokontrolle 
in Schlachthöfen? 


Niedersachsens Landwirtschaftsmi- 
nisterin Barbara Otte-Kinast (CDU) er- 
wägt, rechtlich die Überwachung von 
Schlachthöfen durch Videokameras 
vorzuschreiben, um die Einhaltung des 
Tierschutzrechts zu überprüfen, so eine 
Sprecherin ihres Hauses: „Die Ministerin 
lässt derzeit juristisch prüfen, welche 
Möglichkeiten es gibt, verbindlich ein 
Kamerasystem in den Bereichen der An- 
lieferung, des Zutriebes, der Betäubung 
und der Schlachtung der Schlachthöfe 
anzuordnen.” 

Ende 2018 werteten zehn Mitarbeiten- 
de des Vereins Deutsches Tierschutzbüro 
600 Stunden Bildmaterial von versteck- 
ten Kameras aus einem Betrieb in Olden- 
burg aus, das dem Verein von anonymen 
TierschützerInnen zugespielt wurde. Es 
zeigt unter anderem ausblutende Rinder, 
die vor der Schlachtung nicht fachge- 
recht betäubt wurden, und andere Tier- 
quälereien. Öffentlichkeit und Behörden 
wurden vom Tierschutzbüro über des- 
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sen erste Eindrücke im November vom 
Tierschutzbüro-Vorsitzenden Jan Peifer 
informiert: „Dakommt noch was.” 

Versteckte Kameras haben sich zum 
wirksamsten Instrument der Tierschutz- 
lobby in ihrem Kampf gegen Massentier- 
haltung und Schlachtindustrie entwi- 
ckelt. Regelmäßig veröffentlichen Orga- 
nisationen Aufnahmen, die das Grauen 
im Umgang mit den sogenannten Nutz- 
tieren zeigen. Der Betreiber eines öko- 
zertifizierten Hofs in Brandenburg hat 
nach einer solchen Veröffentlichung das 
Schlachten vorerst eingestellt. In Nie- 
dersachsen, dem produktivsten deut- 
schen Agrarbundesland, musste zuletzt 
ein Betrieb in Bad Iburg nach Video- 
enthüllungen schließen. Jetzt beschäf- 
tigen die Aufnahmen aus Oldenburg 
Behörden, Lebensmittelwirtschaft und 
Verbraucherschaft. Bestärkt fühlen sich 
die Undercover-AktivistInnen durch 
ein Urteil des Bundesgerichtshofs vom 
Frühjahr 2018, wonach Fernsehsender 
auch illegal aufgenommene Filme zei- 
gen dürfen, wenn diese Wahrheiten von 
öffentlichem Interesse zeigen. 

Der Europäische Tierärzteverband 
fordert schon seit langem die staatliche 
Videoüberwachung von Schlachthöfen. 
Susanne Mittag, Tierschutzbeauftragte 
der SPD, wies im Mai 2018 darauf hin, 
dass solche Kameras laut Rechtsgutach- 
ten des Wissenschaftlichen Dienstes des 
Bundestages möglich wären. Großbri- 
tannien hat sie schon, Frankreich testet 
noch. Aus dem Bundeslandwirtschafts- 
ministerium, das die Kamerapflicht 
einführen müsste, gab es bisher nicht 
viel Sympathie für die Idee. Das Haus 
von Ressortchefin Julia Klöckner (CDU) 
äußerte arbeits- und datenschutzrecht- 
liche Bedenken. Auch Barbara Otte- 
Kinast aus Niedersachsen dämpfte die 
Erwartungen. Eine Videoüberwachung 
könne nur eine unvollständige Ergän- 
zung zu den Stichprobenkontrollen 
der lokalen Veterinärämter sein: „Eine 
lückenlose Rund-um-die-Uhr-Überwa- 
chung aller tierschutzrelevanten Be- 
triebsbereiche ist von den zuständigen 
Veterinärbehörden nicht zu leisten.” 
Deshalb hält auch Jan Peifer vom Tier- 
schutzbüro die Idee für fragwürdig: 
„Wer soll die Bilder anschauen?” Mit 
all der Arbeit, die sein Verein mit den 
Schlachthof-Filmen aus Oldenburg hat- 
te, meinte er aber: „Die können gerne 


uns anstellen“ (Hahn, Kamera läuft, SZ 
12.11.2018, 1). 


Nordrhein-Westfalen 


Neue Befugnisse im Poli- 
zeigesetz verabschiedet 


Mit breiter Mehrheit hat sich der 
nordrhein-westfälische Landtag am 
12.12.2018 dafür ausgesprochen, die 
Befugnisse der Polizei zu erweitern mit 
dem Argument, den Kampf gegen den 
Terrorismus zu erleichtern. Für die lan- 
ge umstrittene Reform des Polizeigeset- 
zes stimmte neben der aus CDU und FDP 
bestehenden Koalition auch die SPD, 
nachdem Schwarz-Gelb noch einige Kor- 
rekturen zugesagt hatte. Nur die Grünen 
lehnten die Initiative ab, mit der die Po- 
lizei auch außerhalb von Strafverfahren 
künftig etwa mit richterlicher Erlaubnis 
per Staatstrojaner Internet-Telefonate 
überwachen und Nachrichten von Mes- 
senger-Diensten wie WhatsApp auslesen 
dürfen. Die AfD enthielt sich (vgl. DANA 
1/2018, 27-29). 

Während die Regierung der Polizei 
auch eine Lizenz für heimliche Online- 
Durchsuchungen geben wollte, hat die 
Koalition im Landtag diese mit einem 
Änderungsantrag auf das Abgreifen 
„laufender“ Telekommunikation be- 
schränkt. Die Maßnahme ist zulässig 
zur Abwehr einer „gegenwärtigen Ge- 
fahr“ für den Bestand oder die Sicher- 
heit des Bundes oder eines Landes sowie 
für Leib oder Leben einer Person. Auch 
wenn der Polizei konkrete Anzeichen 
vorliegen, dass jemand „innerhalb ei- 
nes übersehbaren Zeitraums auf eine 
zumindest ihrer Art nach konkretisierte 
Weise eine terroristische Straftat” bege- 
hen wird, kann sie den Staatstrojaner in 
Position bringen. Die ursprüngliche Pla- 
nung, ebenso wie in Bayern als neuen 
Rechtsbegriff die „drohende Gefahr” ins 
Gesetz aufzunehmen, wurde aufgege- 
ben. Stattdessen werden nun konkrete 
schwere Straftaten aufgezählt, die dro- 
hen müssen, ehe eine Person präventiv 
- also ohne begangenes Vergehen - z.B. 
in „Unterbindungsgewahrsam” genom- 
men werden kann. 

Mit der Quellen-Telekommunikations- 
überwachung soll es möglich werden, 
auch auf kryptografisch geschützte 
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Kommunikation vor einer Ver-odernach 
einer Entschlüsselung direkt auf Endge- 
räten der Zielperson zuzugreifen. Ein- 
geschlossen sind Übermittler von Mit- 
teilungen für einen Verdächtigen oder 
Personen, die diesem ihre Anschlüsse, 
Smartphones oder Rechner zur Verfü- 
gung stellen. Berufsgeheimnisträger 
wie Geistliche, Abgeordnete, Ärzte oder 
Rechtsanwälte bleiben außen vor. 

Die Polizei darf terroristische Gefähr- 
der zudem künftig mit elektronischen 
Fußfesseln überwachen. In bestimmten 
Fällen kann das Tragen eines solchen 
Ortungsinstruments auch bei Sexual- 
straftätern, Stalkern oder in schweren 
Fällen häuslicher Gewalt angeordnet 
werden. Die Videoüberwachung wird 
ausgeweitet: Bisher durften Kameras 
nur an öffentlichen Plätzen angebracht 
werden, an denen bereits Verbrechen 
stattgefunden haben. Künftig reichen 
Anhaltspunkte aus, „dass dort Straftaten 
von erheblicher Bedeutung verabredet, 
vorbereitet oder begangen werden”. 

Zulässig wird ferner eine „strategische 
Fahndung” ohne konkreten Verdacht. 
Ordnungshüter dürfen Menschen so an- 
halten und nach ihrem Ausweis fragen 
oder sich Taschen beziehungsweise den 
Kofferraum eines Autos zeigen lassen, 
wenn ein Anlass wie eine Einbruchse- 
rie in einer Gegend besteht. Wer sich 
weigert, seine Identität feststellen zu 
lassen, kann statt zwölf Stunden fortan 
sieben Tage festgehalten werden. Maxi- 
mal darf die Polizei Gefährder mit Ver- 
längerung vier Wochen in Gewahrsam 
nehmen. Bisher liegt die Grenze hier 
bei 48 Stunden. Bis Ende 2022 soll die 
Regierung das Gesetz evaluieren lassen. 

Bei einer parlamentarischen Anhö- 
rung hatten ExpertInnen im Vorfeld 
unter anderem verfassungsrechtliche 
Bedenken gegen die Initiative vorge- 
bracht. Tausende DemonstrantInnen 
protestierten gegen den Entwurf auf 
der Straße. Die Grüne Verena Schäffer 
beklagte bei der abschließenden Le- 
sung, der „grottenschlechte” Entwurf 
bringe tiefe Eingriffe in die Grundrech- 
te mit sich. Die Regierung habe Ängste 
in der Bevölkerung geschürt, obwohl 
die Zahlen in der Kriminalstatistik von 
NRW rückläufig seien. Der Staat dürfe 
sich nicht zum Hacker machen. Außer- 
dem kritisierten die Grünen, dass nach 
dem neuen Gesetz DemonstrantInnen, 
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die sich etwa bei Protesten im Hamba- 
cher Forst einer Identitätsfeststellung 
verweigern, künftig sieben Tage lang 
festgehalten werden dürfen. Ein FDP- 
Abgeordneter warf den Grünen deshalb 
„Klientelpolitik” zum Schutze von Straf- 
tätern vor. Die Grünen-Fraktion prüft, ob 
sie eine Verfassungsbeschwerde gegen 
das Gesetz einlegen will. In Ländern wie 
Baden-Württemberg oder Hessen hatten 
die Grünen der Einführung von Staatstro- 
janern im Polizeirecht zugestimmt. 

Marc Lürbke unterstrich im Namen 
der FDP-Fraktion, dass die Sicherheit 
im Land verbessert werde, Bürgerrechte 
aber gewahrt blieben. Hartmut Ganz- 
ke (SPD) lobte, dass das ursprüngliche 
Papier in intensiven Verhandlungen 
entschärft worden sei. Innenminister 
Herbert Reul (CDU) wertete einen tags 
zuvor erfolgten Anschlag in Straßburg 
als Zeichen, dass die Terrorgefahr real 
sei. Mit den beschlossenen Maßnahmen 
könne die Polizei endlich gegen terro- 
ristische Gefährder vorgehen, „bevor 
die Bombe explodiert ist”. Das Sicher- 
heitsgesetz sei in erster Linie ein Anti- 
Terror-Paket, ziele aber etwa auch auf 
Hooligans oder Pädophile ab (Krempl, 
Neues Polizeigesetz beschlossen: Der 
NRW-Trojaner kommt, www.heise.de 
13.12.2018, Kurzlink: https://heise. 
de/-4250283; Gesetz gegen Gefährder, 
SZ 31.12.2018, 6). 


Sachsen-Anhalt 


Neuer Datenschutzbeauf- 
tragter wohl erst nach 
Verfassungsänderung 


Nach drei gescheiterten Wahlgängen 
im Landtag für einen Beauftragten für 
den Datenschutz soll in Sachsen-Anhalt 
nun eine Verfassungsänderung helfen. 
Sachsen-Anhalt ist weiterhin auf der 
Suche nach einem neuen Landesbeauf- 
tragten als Nachfolge für Harald von 
Bose. Nils Leopold (Grüne), Kandidat 
der schwarz-rot-grünen Koalition, hat- 
te bei einer dramatischen Landtagssit- 
zung im Mai 2018 in drei Wahlgängen 
die nötige Mehrheit von zwei Dritteln 
der Parlamentarier verfehlt (vgl. DANA 
2/2018, 101, 108 f.). Diskutiert wird 
nun eine Verfassungsänderung, um die 
hohe Hürde der Zwei-Drittel-Mehrheit 


aus dem Weg zu räumen. Ministerpräsi- 
dent Reiner Haseloff sagte, die Verant- 
wortung liege beim Landtag: „Ich habe 
einen Vorschlag gemacht.” Er gehe da- 
von aus, dass der Erkenntnisprozess im 
Parlament weiterlaufe. Er betonte, die 
Behörde sei funktionsfähig. Von Bose 
sei bereit, dort weiter zu arbeiten: „Dar- 
über bin ich sehr froh”. 

Grünen-Fraktionschefin Cornelia Lüd- 
demann kritisierte dagegen, Haseloff 
mache es sich zu einfach. Leopold war 
auf Initiative der Grünen vorgeschlagen 
worden. Haseloff habe sich den Vor- 
schlag zu eigen gemacht und für Leopold 
geworben. Jetzt zu sagen, der Landtag 
sei am Zug, greife zu kurz: „Wir als Grü- 
ne warten auf ein belastbares Signal der 
Koalitionspartner und des Ministerprä- 
sidenten.” Leopold hat inzwischen klar 
gemacht, dass er nicht mehr zur Ver- 
fügung steht. Die Fraktionen von CDU 
und SPD setzen auf eine Änderung der 
Landesverfassung, um die Hürde der 
Zwei-Drittel-Mehrheit zu senken. Ei- 
nen anderen Vorschlag gebe es bislang 
nicht, sagte SPD-Sprecher Martin Krems- 
Möbbeck. CDU, SPD und Grüne haben in 
ihrem Koalitionsvertrag wegen anderer 
Punkte ohnehin eine Verfassungsände- 
rung vereinbart - so soll etwa ein Verbot 
der Diskriminierung aufgrund der sexu- 
ellen Identität aufgenommen werden. 
In diesem Zusammenhang könne man 
auch das Quorum für die Wahl des Daten- 
schutzbeauftragten senken. 

Auch Grünen-Fraktionschefin Lüdde- 
mann zeigte sich offen für eine Verfas- 
sungsänderung. Es sei unverständlich, 
dass die Hürde zur Wahl des Daten- 
schutzbeauftragten höher sei als etwa 
für die Wahl des Ministerpräsidenten. 
Die geplante Änderung, auch zu ande- 
ren Punkten, sei aber ein aufwändiges 
Projekt. Sie hoffe, dass bis zur Soemmer- 
pause ein abstimmungsfertiges Paket 
vorliege. Gleichzeitig mahnte Lüdde- 
mann, eine Verfassungsänderung werde 
das Problem nicht lösen, wenn gleich- 
zeitig eine Gesamtstrategie in Sachen 
Datenschutz fehle. Wie brisant das The- 
ma sei, habe sich gerade wieder durch 
den Online-Angriff auf Daten von Politi- 
kern und Prominenten gezeigt (Ribnitz- 
ky, Sachsen-Anhalt weiter ohne neuen 
Datenschützer: Ausweg Verfassungs- 
änderung? www.heise.de 14.01.2019, 
Kurzlink: https://heise.de/-4273037). 
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Datenschutznachrichten aus dem Ausland 


Weltweit 


Riesenhack bei Mariott/ 
Starwood 


Eine wichtige Reservierungsdaten- 
bank des Hotelkonzerns Marriot In- 
ternational wurde gehackt. In der Da- 
tenbank fanden sich Informationen 
zu rund einer halben Milliarde Kun- 
dInnen. Gemäß Geschäftsführer Arne 
Sorenson ging es um Reservierungen, 
die vor dem 10.09.2018 in bestimmten 
Hotels der Kette getätigt wurden: „Wir 
bedauern diesen Vorfall zutiefst.“ Das 
Unternehmen machte das Datenleck am 
30.11.2018 selbst auf seiner Webseite 
bekannt. Die Aufsichtsbehörden seien 
eingeschaltet worden. Ziel der Attacke 
war demnach die Reservierungsdaten- 
bank der Marriott-Tochter Starwood. 
Darin werden Gästeinformationen ge- 
speichert, die zu Tochtermarken wie 
zum Beispiel Le Meridien, Sheraton Ho- 
tels & Resorts und Westin Hotels & Re- 
sorts gehören. Marriott selbst verwende 
ein separates Reservierungssystem, das 
sich in einem anderen Netzwerk befin- 
de. 

Gemäß Unternehmensangaben gab es 
bereits seit 2014 „unbefugten Zugang” 
zum Starwood-Netzwerk. Eine eigene 
Untersuchung habe jetzt ergeben, dass 
jemand Unbekanntes Informationen 
aus dem System kopiert und verschlüs- 
selt hat. Dem zufolge wurden im Laufe 
der Zeit Informationen kopiert, die über 
Gäste der Hotels gespeichert worden 
waren. Insgesamt sind demnach bis zu 
500 Millionen Gäste betroffen. Zu 327 
Millionen davon enthielt die Datenbank 
allerlei persönliche Daten, darunter 
„Namen, Postanschriften, Telefonnum- 
mern, E-Mail-Adressen, Passnummern, 
‚Starwood Preferred Guest‘-Kontoinfor- 
mationen, Geburtsdaten, Geschlecht, 
Ankunfts- und Abfahrtsdaten, Reser- 
vierungsdaten und Kommunikations- 
präferenzen”. Zu den restlichen Gästen 
sollen weniger Informationen abrufbar 
gewesen sein. Die genaue Kombinati- 
on der Daten variiere je nach Gast. Bei 
einer nicht näher genannten Zahl an 
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Personen hätten auch Zahlungskarten- 
nummern und Karten-Ablaufdaten zu 
den kopierten Informationen gehört. 
Die Zahlungskartennummern seien ver- 
schlüsselt gewesen: „Für die Entschlüs- 
selung der Zahlungskartennummern 
sind zwei Komponenten erforderlich, 
und Marriott konnte an dieser Stelle 
nicht ausschließen, dass beides ent- 
nommen wurde.” 

Gemäß eigenen Angaben betreibt 
Marriott in 129 Ländern und Regionen 
Hotels. Die Firma aus dem amerika- 
nischen Bethesda im US-Bundesstaat 
Maryland zählt damit zu den größten 
Hotelunternehmen der Welt. Starwood 
wurde von dem Konzern im Jahr 2016 
übernommen, also zu Zeiten, als der 
Zugriff auf die Reservierungsdatenbank 
bereits begonnen hatte. Potenziell be- 
troffene KundInnen sollten, so Mariott, 
sicherheitshalber aufihren Kontoauszü- 
gen für Zahlungskarten nach verdächti- 
gen Aktivitäten Ausschau halten und 
dies gegebenenfalls sofort dem jewei- 
ligen Kartenanbieter melden. Zudem: 
„Marriott wird Sie nicht auffordern, Ihr 
Passwort per Telefon oder E-Mail anzu- 
geben“. Das Unternehmen kündigte an, 
die betroffenen KundInnen auch per E- 
Mail zu informieren. Erhält also jemand 
eine E-Mail rund um den Marriott-Hack 
oder sonst eine unverlangte, verdächti- 
ge Mail, so sollte die Person vorsichtig 
sein. Hinter der Nachricht könnten Kri- 
minelle stecken, die durch das Daten- 
leck an die persönlichen Daten gelangt 
sind (Böhm, Hotelkette Marriott meldet 


massives Datenleck, www.spiegel.de 
30.11.2018). 
EU 


Rat will verbesserte grenz- 
überschreitende Internet- 
ermittlungen 


Der Rat der EU setzt sich mit knapper 
Mehrheit für konkrete Vorschläge zu 
einer „E-Evidence-Verordnung” (Ver- 
ordnung über die Herausgabe elektro- 
nischer Beweismittel) ein, wonach eu- 


ropäische Polizei- und Justizbehörden 
bei Diensteanbietern elektronische 
Beweismittel anfordern könnten. Die 
Justizminister der EU-Länder unter- 
stützten am 07.12.2018 einen Verord- 
nungsentwurf der EU-Kommission, mit 
dem die Strafverfolgungsbehörden der 
Mitgliedsstaaten letztlich weltweit auf 
elektronische Beweismittel zugreifen 
dürften. Dies bezieht sich vor allem 
auf Daten, die in der Cloud gespeichert 
sind, sowie auf Meta- und Inhaltsda- 
ten aus der elektronischen Kommu- 
nikation, etwa über E-Mail, SMS oder 
Whatsapp. Bei Straftaten, die mit Haft 
von mindestens drei Jahren bedroht 
sind, sollen sich Strafverfolger direkt 
an Provider oder Dienstanbieter in ei- 
nem anderen Mitgliedstaat wenden 
können. Der Staat, in dem sich die be- 
troffene Person befindet, soll praktisch 
kein durchgreifendes Mitspracherecht 
haben. An einigen Punkten will der EU- 
Rat den Entwurf noch verschärfen. So 
schlägt er etwa vor, einen Artikel zu 
nationalen Möglichkeiten für den Wi- 
derspruch gegen eine „Vorlageanord- 
nung” beispielsweise zum Schutz von 
Grundrechten komplett zu streichen 
und durch ein weniger striktes „Notifi- 
zierungssystem” für bestimmte Daten- 
kategorien zu ersetzen. 

Firmen, die die geplanten Datenzu- 
griffe prinzipiell verweigern, sollen 
gemäß dem EU-Rat mit Bußgeldern 
in Höhe von bis zu zwei Prozent des 
globalen Jahresumsatzes sanktioniert 
werden können. Dies könnte für Inter- 
netgrößen wie Amazon, Apple, Face- 
book oder Google auf Milliardenstrafen 
hinauslaufen. Bei Verstößen gegen die 
geplanten Vorschriften zum Löschen 
terroristischer Inhalte sind sogar Buß- 
gelder in einer Höhe von bis zu vier Pro- 
zent des Konzernumsatzes vorgesehen. 

Nach Meinung der Justizminister 
sollen bestehende nationale Schutz- 
rechte wie die Presse- oder Meinungs- 
freiheit sowie für „fundamentale In- 
teressen” in den beteiligten Ländern 
bei Antragstellung stärker beachtet 
werden. Gelten sollen die Regeln zu- 
dem erst nach einer Übergangsfrist 
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von 24 statt, so der Kommissions- 
vorschlag, sechs Monaten. Von dem 
Vorschlag werden Bestandsdaten wie 
Name und Anschrift oder Zugangsken- 
nungen und Passwörter sowie E-Mails, 
SMS und Chatnachrichten erfasst. In- 
haltsdaten einschließlich Fotos oder 
Videos in der Cloud sind ebenfalls mit 
eingeschlossen, wenn sie der Verfol- 
gung schwerer Straftaten dienen sol- 
len und ein Gericht einen Antrag dar- 
auf genehmigt hat. 

Justizbehörden aus einem Mitglied- 
staat soll es gestattet werden, E-Be- 
weismittel unabhängig vom Standort 
der jeweiligen Daten unmittelbar bei 
Diensteanbietern anzufordern, die in 
der EU tätig sind. Betroffene Provider 
müssten dann innerhalb von zehn Ta- 
gen auf einen Antrag antworten. In 
Notfällen soll die Frist auf sechs Stun- 
den verkürzt werden können. Mit einer 
Anordnung ist auch eine Vorgabe zur 
Vorratsdatenspeicherung verknüpfbar. 

Staaten wie Deutschland, Finnland, 
Lettland, die Niederlande oder Ungarn 
stellten sich gegen die mehrheitliche 
Ratsposition. Bundesjustizministerin 
Katarina Barley betonte, dass der be- 
schlossene Text nicht zustimmungs- 
fähig sei, weil der Grundrechtsschutz 
unzureichend bleibe. Die Verordnung 
könnte dazu führen, dass z. B. in 
Deutschland wegen Straftaten ermit- 
telt werden könnte, die hier gar nicht 
strafbar sind. Sie hoffe nun auf Ver- 
besserungen in den anstehenden Ver- 
handlungen mit dem EU-Parlament, 
das seine Linie zu dem Dossier noch ab- 
stecken muss. Zuvor hatte die SPD-Po- 
litikerin mit Amtskollegen aus sieben 
weiteren Ländern in einem Brief an die 
Kommission unter anderem auf eine 
behördliche Widerspruchsmöglichkeit 
in begründeten Fällen gedrängt. Dies 
sieht die Bundesrechtsanwaltskammer 
ähnlich, die in ihrer Stellungnahme 
darauf hinwies, dass so Deutschland 
verpflichtet würde zur „politisch mo- 
tivierten Verfolgung wegen zu diesem 
Zweck geschaffenen Delikten“. An- 
dere Kritiker verweisen auf Polen, wo 
Abtreibung verboten ist. Die Zustim- 
mung eines Richters aus dem Ermitt- 
lerstaat gilt aus deutscher Sicht nicht 
als gleichwertiger Ersatz. Die deutsche 
Europaabgeordnete Birgit Sippel (SPD) 
sagte, sie teile viele der Bedenken, die 
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gegen die E-Evidence-Verordnung vor- 
gebracht werden: „Wir sind nicht ge- 
gen die Idee als solche. Aber unser Ein- 
druck ist, dass hier sehr schnell über 
Bedenken hinweg gegangen wurde.” 

Strafverfolger begrüßen die Initia- 
tive, so z. B. Oberstaatsanwalt Markus 
Hartmann, der in Köln eine Zentral- 
und Ansprechstelle für Cybercrime 
leitet: „Der Vorschlag ist die richtige 
Reaktion auf die Notwendigkeiten der 
Praxis. Wir haben im Bereich der Cyber- 
kriminalität kaum ein Verfahren, das 
keine internationale Bezüge aufweist.” 
Auch bei analogeren Straftaten wie Be- 
trug und Erpressung steige die Bedeu- 
tung elektronischer Spuren. Dies zeige 
die Masse der Anfragen, die sein Team 
dazu erreiche. Will die Polizei oder die 
Staatsanwaltschaft auf Daten zugrei- 
fen, diein einem anderen Mitgliedstaat 
gespeichert sind, muss sie bislang den 
Weg der Rechtshilfe gehen, sich also 
an die Behörden des jeweiligen Staates 
wenden, die dann wiederum beim je- 
weiligen Provider um die Daten bitten. 
Hartmann: „Die traditionellen Mittel 
der Rechtshilfe dauern zu lange.” 

Die Datenschutzbeauftragten des 
Bundes und der Länder meinen, Grund- 
rechte der Nutzenden und der Provider 
würden mit der geplanten E-Evidence- 
Verordnung mit Füßen getreten und 
Schutzvorschriften zur Vorratsda- 
tenspeicherung ausgehebelt. Sie be- 
fürchten laut einer Entschließung, 
dass Drittstaaten die Verordnung als 
Blaupause für vergleichbare Auflagen 
heranziehen werden. Der Entwurf ent- 
halte so viele Mängel, dass ihn die am 
Gesetzgebungsverfahren beteiligten 
Gremien stoppen müssten. Der Digital- 
verband Bitkom begrüßte zwar prinzi- 
piell, dass die E-Evidence-Verordnung 
die grenzüberschreitende Strafverfol- 
gung beschleunigen könnte. Die Fris- 
ten für eine Datenherausgabe seien 
aber viel zu kurz bemessen, um etwa- 
ige Behördenanfragen inhaltlich kor- 
rekt zu prüfen. (Krempl, E-Evidence: 
EU-Staaten befürworten breiten Zu- 
griff auf Cloud-Daten, www.heise.de 
07.12.2018, Kurzlink: https://heise. 
de/-4245414; Beisel, Schnelles Netz 
für die Rechtshilfe, SZ 06.12.2018, 6; 
Rath, Fahnder erhalten Zugriff auf E- 
Mails, SMS und Whatsapp, Kieler Nach- 
richten 08.12.2018, 5). 


EU 


Datenmissbrauch im Wahl- 
kampf soll sanktionierbar 
sein 


Die EU will den demokratischen Pro- 
zess besser vor Desinformationskampa- 
gnen schützen, für die Daten von Wäh- 
lerInnen missbraucht werden. Deshalb 
gelten künftig für politische Gruppierun- 
gen in der EU strengere Regeln. Eine Par- 
tei oder eine ihr nahestehende Stiftung 
soll mit Geldstrafen belegt werden, wenn 
sie im Wahlkampf gegen Datenschutz- 
bestimmungen verstößt. Auf einen ent- 
sprechenden Verordnungsentwurf haben 
sich am 16.01.2019 die Mitgliedsstaaten, 
das EU-Parlament und die Kommission in 
Straßburg geeinigt. Betroffene Instituti- 
onen sollen eine Strafein Höhe von bis zu 
fünf Prozent ihres Jahresbudgets zahlen 
müssen. Damit reagieren die EU-Gremien 
v.a. aufden Datenskandal um Cambridge 
Analytica. Die britische Big-Data-Firma 
hatte sich während des US-Wahlkampfs 
unerlaubt Zugang zu Daten von Millionen 
Facebook-Nutzenden verschafft. Mit den 
Informationen soll Cambridge Analytica 
über Beiträge und Werbung in dem so- 
zialen Netzwerk geholfen haben, für den 
heutigen US-Präsidenten Donald Trump 
zu mobilisieren und zugleich potenzielle 
WählerInnen der Gegenkandidaten Hilla- 
ry Clinton vom Urnengang abzuhalten. 

Um derlei Desinformationskampagnen 
zu erschweren, wird es politische Kräfte 
fortan teurer zu stehen kommen, wenn 
sie bewusst Datenschutzverletzungen in 
Kauf nehmen, um das Ergebnis europä- 
ischer Wahlen zu beeinflussen - oder es 
versuchen. In der Praxis sollen nationa- 
le Aufsichtsämter entscheiden, ob etwa 
eine Partei gegen diese neuen Vorgaben 
verstoßen hat. Danach muss die 2014 
eingerichtete Behörde für europäische 
politische Parteien und Stiftungen die 
Resultate der Ermittlungen überprüfen 
und gegebenenfalls die geforderte Sank- 
tion verhängen. Im März 2019 sollen die 
verschärften Bestimmungen dann direkt 
nach der Veröffentlichung im EU-Amts- 
blatt in Krafttreten. Damit könnten siein 
allen Mitgliedsstaaten noch vor den eu- 
ropäischen Wahlen greifen, die zwischen 
dem 23. und dem 26. Mai 2019 durchge- 
führt werden. 
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Der Vorschlag ist Teil eines größeren 
Maßnahmenpakets gegen Wahlmanipu- 
lationen. Darin sind u. a. Impressums- 
pflichten für Wahlwerbeinhalte und wei- 
tergehende Transparenz-, Fairness- und 
Stillhaltepflichten für Online-Kampag- 
nen vorgesehen. Auch ein Verbot, Profile 
über WählerInnen anzulegen, sowie eine 
Kennzeichnungspflicht für den mas- 
senhaften Einsatz von Social Bots sind 
danach vorgesehen (Krempl, EU: Daten- 
schutzverstöße durch Parteien im Wahl- 
kampf werden sanktioniert, www.heise. 
de 17.01.2019, Kurzlink: https://heise. 
de/-4281080). 


EU 


Mit „künstlicher Intelli- 
genz” gegen illegale Grenz- 
übertritte? 


Die Europäische Union (EU) testet 
seit November 2018 ein System „iBor- 
derCtrl” an vier Grenzübergängen in 
Griechenland, Lettland und Ungarn, mit 
dem per „künstlicher Intelligenz” (KT) 
LügnerInnen an der Einreise gehindert 
werden sollen. Nach den Planungen der 
EU-Kommission könnten irgendwann 
alle Nicht-EU-BürgerInnen vor einem 
Grenzübertrittin dieEU vor einer Kamera 
automatisiert befragt werden; ein mit KI 
arbeitender Lügendetektor würde dann 
die Antworten aufihren Wahrheitsgehalt 
prüfen. Mit 4,5 Mio. € fördert Brüssel das 
auf sechs Monate begrenzte Pilotprojekt 
aus Luxemburg, an dem Forschende aus 
acht Staaten beteiligt sind. Das Verfah- 
ren hat zwei Stufen: Zu Hause lädt der 
Reisende zunächst Dokumente wie Pass, 
Visum, Foto oder Einkommensnachweis 
hoch. Auf dem Bildschirm erscheint eine 
virtuelle GrenzbeamtIn in blauer Uni- 
form, deren Geschlecht, Ethnizität und 
Sprache an die sich bewerbende Person 
angepasst sind. 

Während der Avatar mehr über Koffer- 
inhalt und den geplanten Aufenthalt in 
der EU wissen will, zeichnet die Kamera 
alles auf und eine Software analysiert 
die kleinsten Regungen im Gesicht, die 
die Bewerbenden nicht kontrollieren 
können. Anhand von 38 dieser Mikroim- 
pressionen sollen Personen überführt 
werden, die lügen. Das System teilt die 
KandidatInnen in Kategorien ein: Wer 
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als „bedrohlich“ eingestuft wird, müss- 
te in der zweiten Stufe am Grenzposten 
genauer geprüft werden. Dabei soll den 
BeamtInnen ein mobiler Scanner hel- 
fen, der die gesammelten biometrischen 
Daten mit den EU-Datenbanken abglei- 
chen soll. Dank Radar könnte er auch 
nebenbei Menschen erkennen, die sich 
in Hohlräumen verstecken. Aus ihren 
Zielen macht die EU-Kommission kein 
Geheimnis: Kontrollen sollen schneller 
und illegale EinwandererInnen besser 
erkannt werden. Für den Kriminologen 
Bennett Kleinberg vom University Col- 
lege London ist der Ansatz „pseudowis- 
senschaftlich” und problematisch: „Es 
ist sehr umstritten, dass es eine Bezie- 
hung von nonverbalen Mikroimpressi- 
onen wie dem Zucken eines Augenlids 
und dem Erzählen einer Lüge gibt.” 
Stress sei kein guter Indikator für die 
Wahrheitsfindung. 

Der Lügendetektor wurde bisher nur 
an 32 Menschen getestet und hat da- 
bei eine Erfolgsquote von 76% erzielt. 
Die Expertin Maja Pantic wies darauf 
hin, dass die Hälfte der Teilnehmenden 
bewusst geflunkert habe, weshalb die 
Software mit fehlerhaften Daten gefüt- 
tert werden könnte: „Wenn man Leute 
bittet, nicht die Wahrheit zu erzählen, 
verhalten sie sich anders als jemand, 
der wirklich lügt, um nicht ins Gefäng- 
nis zu müssen.” Keeley Crockett von der 
Manchester Metropolitan University, die 
„\BorderCtrl” berät, erklärte, dass diese 
Herausforderungen bekannt seien. Sie 
betont, dass das System nicht allein 
entscheiden würde, sondern Grenzbe- 
amtInnen unterstützen soll. Crockett 
hofft, dass sich die Erfolgsquote durch 
den Pilotversuch auf 85 Prozent erhöht. 
Bei mehr als 700 Millionen Menschen, 
die jährlich in die EU einreisen, würde 
dies immer noch zu einer riesigen Zahl 
an Fehldiagnosen führen. In der Pilot- 
phase werden nur Freiwillige aufge- 
zeichnet (Kolb, Schau mir in die Augen, 
SZ 05.11.2018, 1). 


Österreich 


Post verkauft Daten zu 
politischer Affinität 


Im Rahmen seines seit Jahren betrie- 
benen Datenhandels bietet die Osterrei- 


chische Post Werbetreibenden Informa- 
tionen über drei Millionen Österreicher- 
Innen feil. Zu den Daten gehört etwa, ob 
die Betroffenen gerne laufen, wie alt sie 
sind, ihre Familiensituation, oder wie 
häufig sie Pakete bekommen. Für 2,2 
Millionen Personen wird auch eine Be- 
wertung der „Affinität“ zu bestimmten 
politischen Parteien verkauft. Das ist 
juristisch bedenklich. 

Die Datenschützer von epicenter. 
works halten diese Geschäfte der Post 
für illegal. Art. 9 der EU-Datenschutz- 
grundverordnung (DSGVO) verbietet 
ausdrücklich die Verarbeitung perso- 
nenbezogener Daten, aus denen politi- 
sche Meinungen hervorgehen - außer, 
der Betroffene hat ausdrücklich für be- 
stimmte Zwecke zugestimmt, was nur 
sehr selten gegeben sein dürfte. Die 
Österreichische Post verteidigt ihr Ge- 
schäftsmodell und hält es mit folgender 
Begründung für legal: Die angeprie- 
senen Daten über die Parteiaffinitäten 
seien nicht unbedingt „tatsächlich zu- 
treffend”. Tatsächlich handle es sich 
nicht um konkretes Wissen, sondern um 
Ableitungen aus Geschlecht und Alter 
sowie statistischen Daten wie regiona- 
ler Kaufkraft und Durchschnittseinkom- 
men, Wahlergebnissen, Einkommen und 
repräsentativen Umfragen. Die Post ver- 
glich ihr Angebot mit Hochrechnungen 
am Wahlabend. 

Tatsächlich dürften die Daten über die 
Parteiaffinität nur geringe Aussagekraft 
haben. 30 ÖsterreicherInnen haben ihr 
Recht auf Selbstauskunft gegenüber der 
Post geltend gemacht und die erhalte- 
nen Antworten für eine Auswertung zur 
Verfügung gestellt. Bei weniger als der 
Hälfte der Stichprobe hatte die Post die 
Parteiaffinität richtig bestimmt. Dies 
macht die Vorgehensweise der Österrei- 
chischen Post aber noch fragwürdiger: 
Die falsche Andichtung der Affinität 
zu einer bestimmten politischen Partei 
könnte nicht nur ein Datenschutzver- 
stoß, sondern auch ein weitergehender 
Eingriff in die Persönlichkeitsrechte des 
Betroffenen sein. 

Im Übrigen betont die Österreichi- 
sche Post, die Daten nur für Marketing- 
zwecke zu verkaufen. Setzt ein Kunde 
die Daten dennoch anders ein, verstoße 
er gegen den Vertrag mit seinem Daten- 
händler. Zu diesen Kunden zählen ande- 
re Datenhändler, darunter auch solche 
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in Deutschland, Unternehmen wie zum 
Beispiel Stromanbieter oder schwedi- 
sche Möbelhäuser, und natürlich politi- 
sche Parteien in Österreich. Die liberale 
Partei NEOS hatte 2015 Strafe zahlen 
müssen, nachdem sie bei der Post die 
Handynummern zahlreicher BürgerIn- 
nen in Wien gekauft, und dann an diese 
SMS geschickt hatte. Der Datenkauf war 
legal, das Spammen nicht. 

Ähnliches gilt für die Post: Daten 
sammeln darf sie, weil sie einen Ge- 
werbeschein für Adresshandel gelöst 
hat. Feilbieten darf sie die Daten aber 
nur mit Zustimmung der Betroffenen. 
Und diese holt sich die Post gerne im 
Kleingedruckten bei Anmeldungen für 
Mailinglisten, Teilnahmen an Gewinn- 
spielen, und, besonders ausgefuchst, 
bei Nachsendeanträgen. 2001 wurde die 
Post für ihren Datenhandel mit einem 
österreichischen Big Brother Award 
bedacht, 2008 erhielt sie sogar den spe- 
ziellen „Ehrenpreis für das lebenslange 
Ärgernis”. 

Auch die deutsche Post hatte über 
eine Tochter im Bundestagswahlkampf 
2017 Adressdaten an CDU und FDP ver- 
kauft. Dabei seien aber nur anonymi- 
sierte Daten genutzt worden, beteuer- 
ten die Parteien. Die Post erklärte, nur 
statistische Wahrscheinlichkeitswerte 
dargestellt zu haben: Die Daten bezögen 
sich somit nicht auf einzelne Haushalte 
(Sokolov, Datenhandel: Österreichische 
Post verkauft Partei-Affinität der Ös- 
terreicher, www.heise.de 08.01.2019, 
Kurzlink: https://heise.de/-4267637). 


Österreich 


Verfassungsgerichtshof 
stoppt Staatsbürger- 
schaftsentzug über 
dubiose Liste 


Der Verfassungsgerichtshof Öster- 
reichs stoppte im Dezember 2018 
die Nutzung einer Liste mit mehr als 
100.000 Namen von Austro-TürkInnen, 
die der rechtspopulistischen Regie- 
rungspartei FPÖ nach eigenen Angaben 
im Frühjahr 2017 „zugespielt” worden 
war, durch die Staatsangehörigkeits- 
behörden. Viele ÖsterreicherInnen 
mit türkischen Wurzeln hatten zuvor 
in Unsicherheit und mit der Angst ge- 
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lebt, unter dem Vorwurf der illegalen 
Doppel-Staatsbürgerschaft ihren öster- 
reichischen Pass zu verlieren. Die Be- 
hörden hatten, befeuert durch die FPÖ, 
landesweit ermittelt. Die FPÖ will sich 
mit der höchstrichterlichen Entschei- 
dung nicht zufriedengeben und legte 
mit dem Vorschlag ihres Parteichefs 
Heinz-Christian Strache nach, die Ver- 
leihung neuer österreichischer Staats- 
bürgerschaften an Menschen aus der 
Türkei vorerst generell auszusetzen. 
Ausgangspunkt des ziemlich kom- 
plizierten Falls ist eine Liste, bei der 
es sich um eine „Wählerevidenzliste” 
der türkischen Behörden handeln soll. 
Von wem und aus welchen Motiven sie 
an die FPÖ weitergeleitet wurde, wurde 
nicht enthüllt. Für die Freiheitlichen 
ist diese Liste der Beweis dafür, dass 
sogenannte Austro-TürkInnen in gro- 
ßer Zahl ihr Wahlrecht in der Türkei 
ausüben, obwohl sie dort eigentlich 
nach österreichischem Recht gar keine 
StaatsbürgerInnen mehr sein dürften. 
In Österreich sind Doppelstaatsbür- 
gerschaften grundsätzlich verboten. 
Wer sich einbürgern lässt, muss den 
Pass seines Herkunftslandes abgeben. 
Ausnahmen gibt es für Kinder aus bina- 
tionalen Ehen sowie für KünstlerInnen, 
SportlerInnen oder WissenschaftlerIn- 
nen, an denen Österreich ein gezieltes 
Interesse hat. Die FPÖ kämpft überdies 
noch für eine weitere Ausnahmerege- 
lung für SüdtirolerInnen, denen ein 
Doppelpass im Koalitionsvertrag in 
Aussicht gestellt wurde. Dieser Pass 
soll aber nicht türkischen Einwanderer- 
Innen offen stehen, die seit jeher von 
den Rechtspopulisten verdächtigt wer- 
den, so Parteichef Strache, in „Parallel- 
und Gegengesellschaften” zu leben. 
Das Thema wurde im Wahlkampf 2017 
kräftig hochgespielt. Strache hatte die 
Behörden aufgefordert, noch vor der 
Abstimmung all jene aus den österrei- 
chischen Wählerlisten zu streichen, 
die sich illegalerweise den Pass ihres 
Ursprungslandes zurückgeholt hätten. 
So schnell konnte das zwar nicht ge- 
hen, aber landesweit wurden die Ämter 
nun anhand der von der FPÖ weiterge- 
leiteten türkischen Liste aktiv. Allein 
in der Hauptstadt Wien, wo die weitaus 
größte Zahl türkischer Einwandernder 
lebt, wurden 18.000 sogenannte Fest- 
stellungsverfahren eingeleitet. Die 


zuständige Magistratsabteilung wur- 
de dafür um 20 Mitarbeitende aufge- 
stockt. Abgeschlossen wurden bisher 
landesweit mindestens 85 Verfahren, 
in denen Austro-TürkInnen ihren Pass 
verloren. 

Nachdem Ende September 2018 der 
Verwaltungsgerichtshof die Verwen- 
dung der Liste als Beweismittel geneh- 
migt hatte, wuchs die Unsicherheit bei 
alljenen, deren Name sich darauf fand. 
Der Verfassungsgerichtshof als höchs- 
te Instanz sorgte nun jedoch Ende 
2018 für Klarheit anhand der Klage ei- 
nes Mannes, der seit mehr als 40 Jah- 
ren in Österreich lebt und seit 1996 die 
Staatsbürgerschaft besitzt: Die von der 
FPÖ weitergegebene Liste, so urteilten 
die Richter, sei „kein taugliches Be- 
weismittel”. Es sei lediglich eine „Ver- 
mutung”, dass essich dabeitatsächlich 
um ein korrektes Wählerverzeichnis 
handele. Denn dieser Datensatz sei 
„nicht authentisch und hinsichtlich 
seiner Herkunft und des Zeitpunkts 
seiner Entstehung nicht zuordenbar”. 
Die Richter stellten fest, dass die Be- 
weislast, keinen türkischen Pass mehr 
zu besitzen, nicht bei den Betroffenen 
liegen könne. 

Als Reaktion darauf wurden in Wien 
alle 18.000 Feststellungsverfahren ge- 
stoppt. Von den 34 Personen, die dort 
bereits rechtskräftig ausgebürgert wur- 
den, sollen 18 ihre Pässe zurückbekom- 
men. Bei den anderen 16, so heißt es, 
seider Passentzugnichtallein aufgrund 
der angeblichen Wählerliste erfolgt. 
Aus den Bundesländern kamen unein- 
heitliche Signale. In Oberösterreich 
zum Beispiel, wo ein Minister der FPÖ 
zuständig ist, sah man im Spruch des 
Verfassungsgerichtshofs keine Auswir- 
kungen auf bereits entschiedene Fälle. 
Kanzler Sebastian Kurz betonte nach 
dem höchstrichterlichen Urteil, dass 
seine Regierung eine „ganz klare” Linie 
habe: „Wir wollen, dass es keinen Miss- 
brauch bei der Staatsbürgerschaft gibt. 
Doppelstaatsbürgerschaften sind nicht 
vorgesehen.” Straches Forderung nach 
einem vorläufigen Stopp der Einbür- 
gerungen wollte er sich nicht zu eigen 
machen. Er wies Innenminister Herbert 
Kickl an, nun das weitere Vorgehen in 
diesem verwickelten Fall zu prüfen. 
Kickl gehört zur FPÖ (Münch, Fehlpass 
Strache, SZ 22./23.12.2018, 9). 
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Frankreich 


Millionenstrafe gegen 
Google 


Die französische Datenschutzbe- 
hörde CNIL (Commission Nationale de 
UInformatique et des Libertes, deutsch 
Nationale Kommission für Informatik 
und Freiheiten) hat gemäß einer Mit- 
teilung vom 21.01.2019 gegen Google 
nach Beschwerden von Max Schrems 
von noyb (non of your business) und 
La Quadrature du Net eine Geldstrafe 
in Höhe von 50 Mio. € wegen Verstößen 
gegen die EU-Datenschutzgrundverord- 
nung (DSGVO) verhängt. Unter anderem 
seien Informationen zur Verwendung 
der erhobenen Daten und dem Speicher- 
zeitraum für die Nutzenden nicht ein- 
fach genug zugänglich. Sie seien über 
mehrere Dokumente verteilt und Nut- 
zende müssten sich über mehrere Links 
und Buttons durchklicken. Zudem seien 
einige der Informationen unklar for- 
muliert. Die von Google eingeholte Zu- 
stimmung zur Anzeige personalisierter 
Werbung sei unwirksam, weil die Nut- 
zenden nicht ausreichend informiert 
würden. Die DSGVO sieht unter anderem 
vor, dass Unternehmen Nutzende trans- 
parent über die Verwendung ihrer Daten 
informieren müssen. Die CNIL erklärte 
die Höhe der Strafe mit der Schwere des 
Verstoßes, der die Grundprinzipien der 
DSGVO betreffe: Transparenz, Informa- 
tion und Zustimmung. Es handelt sich 
um die erste Strafe der Behörde nach 
der DSGVO. Gemäß der Verordnung kön- 
nen Strafen von bis zu vier Prozent des 
Jahresumsatzes eines Unternehmens 
verhängt werden. 

Google teilte mit, das Unternehmen 
werde nach einer ausführlichen Prüfung 
des Beschlusses Widerspruch einlegen. 
Es zeigte sich über die Folgen der CNIL- 
Entscheidung für Inhalte-Autoren sowie 
IT-Unternehmen insgesamt „besorgt“. 
Es habe hart an einem Zustimmungsver- 
fahren für personalisierte Werbung ge- 
arbeitet, das möglichst transparent sein 
sollte und auf Empfehlungen der Regu- 
lierer basierte, erklärte der Internet- 
Konzern zur Begründung über sein wei- 
teres Vorgehen in dem Fall. Google sei 
entschlossen, die hohen Erwartungen 
der NutzerInnen an Transparenz und 
Kontrolle über die Daten zu erfüllen. Für 
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den Internet-Konzern ist die Strafe ein 
kleiner Betrag. So steckte Google die 
Wettbewerbsstrafen der EU-Kommission 
in Höhe von 4,34 Mrd. Euro vom Juli 
2018 wegen der marktbeherrschenden 
Stellung beim Android-Betriebssystem 
locker weg. Zugleich klagt Google dage- 
gen vor Gericht. 

Google hatte inzwischen die bereits 
im Dezember 2018 angekündigte Ein- 
richtung einer europäischen Hauptnie- 
derlassung in Irland vollzogen. Damit 
ist nun die irische Datenschutzbehörde 
für alle grenzüberschreitenden Fälle 
in Europa zuständig. Diese Bündelung 
bei einem Regulierer gehört zu den 
Neuerungen der DSGVO. Bei lokalen 
Einzelfällen mit Betroffenen in einem 
EU-Mitgliedsstaat sind weiterhin die 
Datenschützer des jeweiligen Landes 
zuständig. Bis zur Einrichtung der 
Hauptniederlassung konnten sie auch 
grenzübergreifend aktiv werden - wo- 
von die CNIL Gebrauch machte (Google 
klagt gegen EU-Strafe, SZ 11.10.2018, 
19; DSGVO-Verstöße: Frankreich ver- 
hängt Millionen-Strafe gegen Google, 
www.heise.de 21.01.2019, Kurzlink: 
https://heise.de/-4283765; Millionen- 
strafe für Google, SZ 22.01.2019, 22; 
Google geht in Berufung gegen franzö- 
sische Datenschutz-Strafe, www.heise. 
de 24.01.2019, Kurzlink: https://heise. 
de/-4286263). 


Niederlande/Großbritannien 


600.000 £-Strafe gegen 
Über wegen Data-Breach- 
Verschweigen 


Die niederländische Datenschutzbe- 
hörde hat eine Strafe von 600.000 € ge- 
gen den Fahrdienstvermittler Uber ver- 
hängt. Betroffen waren demnach auch 
174.000 NiederländerInnen. In Großbri- 
tannien, wo es um 2,7 Millionen KundIn- 
nen und fast 82.000 FahrerInnen geht, 
soll Uber 385.000 Pfund (rund 434.000 
Euro) zahlen. Das US-Unternehmen habe 
den immensen Diebstahl von 57 Millio- 
nen Nutzerdaten nicht innerhalb der vor- 
gegebenen Fristvon 72 Stunden nach der 
Entdeckung gemeldet. Abgegriffen wor- 
den waren Namen, E-Mail-Adressen und 
Telefonnummern von Uber-Nutzenden. 
Das massive Datenleck war im Dezember 


2017 bekannt geworden, der Diebstahl 
hatte sich aber bereits 2016 ereignet 
und bei Uber war er damals auch bereits 
entdeckt worden (DANA 1/2018, 52). 
Der damals noch neue Über-Chef Dara 
Khosrowshahi hatte das lange Schweigen 
nicht entschuldigen wollen und erklärt, 
„nichts davon hätte passieren dürfen“. 
Der Konzern war dann noch einmal in 
die Kritik geraten, als bekannt wurde, 
dass der verantwortliche Hacker 100.000 
US-Dollar aus dem hauseigenen Bug- 
Bounty-Programm bekommen hatte, 
damit er im Gegenzug die Daten löscht. 
Das Programm ist eigentlich als Anreiz 
gedacht, damit Sicherheitsforscher von 
ihnen entdeckte Software-Lücken di- 
rekt an Uber melden, statt anderswo 
Kapital daraus zu schlagen (Holland, 
Datenleck verschwiegen: 600.000 Euro 
Strafe in den Niederlanden gegen Über, 


www.heise.de 27.11.2018, Kurzlink: 
https://heise.de/-4233285; Daten- 
schutz-Strafen für Fahrdienst-Ver- 


mittler Uber, www.donaukurier.de 
27.11.2018). 
Italien 


Wettbewerbsstrafe gegen 
Facebook 


Die italienische Wettbewerbsbehörde 
AGCM hat gegen Facebook zwei Daten- 
schutz-Strafen in Höhe von zusammen 
10 Millionen Euro verhängt. Facebook 
wird vorgeworfen, Internetnutzende in 
die Irre zu führen, wenn es vor der Kon- 
toeröffnung vor allem darauf hinweist, 
dass die Nutzung kostenlos ist. Dass 
Nutzerdaten für kommerzielle Zwecke 
gesammelt werden, sei dagegen nicht 
klar ersichtlich. Es sei zu befürchten, 
dass Nutzende sich anders entscheiden 
würden, wenn sie vor der Kontoeröff- 
nung angemessen auf diese Aspekte 
hingewiesen würden. 

Zudem kritisieren die Wettbewerbshü- 
ter die Weitergabe von Nutzerdaten bei 
der Anmeldung mit einem Facebook- 
Account bei anderen Websites und 
Apps. Sie werfen Facebook eine aggres- 
sive Geschäftspraxis vor, wenn Daten 
ohne ausdrückliche Zustimmung der 
Nutzenden an andere Plattformen wei- 
tergegeben werden. Die vorgesehenen 
Abwahl-Möglichkeiten für die Funkti- 
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on seien nicht ausreichend. Facebook 
müsse das ändern und prominent auf 
die Anpassungen hinweisen. Facebook 
erklärte am 07.12.2018, man prüfe die 
Entscheidung und hoffe, die Bedenken 
der Behörde ausräumen zu können. Zu- 
gleich versicherte das Unternehmen, 
dass Daten nicht ohne Zustimmung der 
Nutzenden mit anderen Apps oder Web- 
sites geteilt würden (Holland, Facebook: 
Zehn Millionen Euro Datenschutzstrafe 
in Italien, www.heise.de 07.12.2018, 
Kurzlink: https://heise.de/-4245630). 


Großbritannien 


Parlament beschafft sich 
geheime Unterlagen zum 
Facebook-Cambridge- 
Analytica-Skandal 


Das britische Parlament hat in einem 
ungewöhnlichen Schritt die Herausgabe 
interner Facebook-Dokumente erzwun- 
gen. Darunter sollen sich auch E-Mails 
verantwortlicher Manager sowie von Fa- 
cebook-Chef Mark Zuckerberg befinden. 
Der Vorsitzende des Digitalausschusses 
(Digital, Culture, Media and Sports Com- 
mittee - DCMS), Damian Collins, nutzte 
gemäß Presseberichten einen nie zuvor 
angewandten parlamentarischen Pro- 
zess, um den Gründer der Softwarefirma 
Six4Three während einer Geschäftsreise 
nach London zur Herausgabe interner 
Facebook-Dokumente zu nötigen: Ein 
Sergeant-at-Arms habe ihn zunächst 
in seinem Hotel aufgesucht und ein 
Ultimatum von zwei Stunden gestellt, 
innerhalb dessen er die Dokumente zu 
übergeben habe. Nach Verstreichen die- 
ser Frist wurde der Mann zum Parlament 
geleitet und dort informiert, dass Geld- 
und Gefängnisstrafe drohten, wenn er 
der Aufforderung nicht nachkäme. 

Six4Three ist ein externer Facebook- 
Softwareentwickler, der juristisch ge- 
gen Facebook wegen der Investition in 
eine App vorgeht und den Social-Media- 
Konzern beschuldigt, von den frag- 
würdigen Implikationen seiner damals 
gültigen Privatsphären-Richtlinie ge- 
wusst zu haben, die Partnerfirmen wie 
Cambridge Analytica die nahezu unein- 
geschränkte Aneignung von Nutzerda- 
ten (inklusive Freunden von Freunden 
ohne Einwilligung) erlaubt habe. Face- 
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book soll zudem diese Situation gezielt 
herbeigeführt, für sich ausgenutzt und 
auf den praktisch ausgehebelten Daten- 
schutz sogar hingewiesen haben. 2015 
habe Facebook diese Situation zu berei- 
nigen versucht und den Zugriff der Ent- 
wickler auf Nutzerdaten eingeschränkt. 
Einigen Entwicklern soll Facebook aber 
auch danach Zugriff auf Freunde-Daten 
gewährt haben. Facebook streitet diese 
Anschuldigungen ab und geht seiner- 
seits juristisch dagegen vor. 

In Zuge dieses Rechtsstreits zwischen 
Six4Three und Facebook hat ein US- 
amerikanisches Gericht in Kalifornien 
bereits verfügt, dass die fraglichen Do- 
kumente in den USA nicht veröffentlicht 
werden dürfen. Facebook forderte nach 
der Beschlagnahme durch das britische 
Parlament das DCMS-Komitee auf, die 
Dokumente weder zu lesen noch zu ver- 
öffentlichen und sie zurückzugeben. Es 
ist fraglich, ob Collins dem nachkommen 
wird: „Dies ist ein beispielloser Vorgang, 
aber es ist auch eine beispiellose Situati- 
on. Wir haben von Facebook keine Ant- 
worten erhalten und wir glauben, dass 
diese Dokumente Informationen von ho- 
hem öffentlichen Interesse enthalten.” 

Die britische Datenschutzaufsicht 
hatte gegen Facebook wegen des Da- 
tenskandals bereits eine Strafe von 
500.000 britischen Pfund verhängt. Der 
im März 2018 bekannt gewordene Skan- 
dalhatte bald darauf zur Einstellung der 
Geschäfte von Cambridge Analytica und 
seiner Muttergesellschaft geführt. Auch 
der Whistleblower Christopher Wylie, 
dessen Enthüllungen den Skandal aus- 
gelöst hatten, bekräftigte, Facebook 
habe von Anfang an über die Situa- 
tion Bescheid gewusst (Wittenhorst, 
Cambridge-Analytica-Skandal: Groß- 
britannien beschlagnahmt Facebook- 
Dokumente, www.heise.de 25.11.2018, 
Kurzlink: https://heise.de/-4232212). 


USA 


Präsidenten-Tochter 
versendete offizielle Mails 
über Privataccount 


Ivanka Trump, Tochter und rangho- 
he Beraterin von US-Präsident Donald 
Trump, hat Hunderte Dienstnachrich- 
ten von einem privaten E-Mail-Konto 


abgeschickt, die u. a. an Mitarbeitende 
im Weißen Haus, Mitglieder des Kabi- 
netts und ihre AssistentInnen gerichtet 
waren. Derartige Mails müssen als offi- 
zielle Kommunikation von Gesetzes we- 
gen amtlich archiviert werden. Die Mails 
wurden über eine Domain verschickt, 
die Trump gemeinsam mit ihrem Mann 
Jared Kushner eingerichtet hatte. Ein 
Anwalt von Ivanka Trump räumte die 
teilweise Nutzung des privaten Mail- 
Accounts seiner Mandantin ein und 
betonte, dies sei geschehen, bevor sie 
über die Regeln des Weißen Hauses zum 
Umgang mit E-Mails informiert worden 
sei. Er versicherte, keine dieser Mails 
habe als vertraulich eingestufte Infor- 
mationen enthalten. Meist sei es um 
logistische Fragen und terminliche Ab- 
sprachen mit der Familie gegangen: „Als 
vor 14 Monaten in der Presse Bedenken 
laut wurden, überprüfte und kontrol- 
lierte Frau Trump ihre E-Mail-Nutzung 
gemeinsam mit dem Rechtsbeistand 
im Weißen Haus und legte die Angele- 
genheit der Führung im Kongress dar.” 
Die liberale Regulierungsorganisation 
American Oversight hatte den Vorgang 
aufgedeckt, so deren Exekutivdirektor: 
„Die Familie des Präsidenten steht nicht 
über dem Gesetz.” 

Dass Ivanka Trump nicht gewusst 
haben will, dass die Verwendung eines 
privaten E-Mail-Kontos nicht erlaubt 
ist, sorgte in Washington für einigen 
Spott angesichts der Tatsache, dass sie 
in der Wahlkampagne ihres Vaters eine 
wichtige Rolle gespielt hatte. Selbst Ver- 
bündete des Weißen Hauses sprachen 
davon, dass die Angelegenheit für den 
Präsidenten peinlich sei. Die E-Mail- 
Praxis seiner Tochter ist für den US-Prä- 
sidenten heikel, da er seiner Konkur- 
rentin im Präsidentschaftswahlkampf 
2016, Hillary Clinton, die Nutzung eines 
privaten Mail-Kontos für dienstliche Be- 
lange in höchst angriffslustiger Weise 
vorgehalten hatte. Unter anderem hatte 
er sie deshalb „betrügerische Hillary” 
genannt und erklärt, sie gehöre ins Ge- 
fängnis. Der Vorgang sei „schlimmer als 
Watergate”. Trump hielt Clinton das The- 
ma immer weiter vor und schlachtete 
die E-Mail-Affäre für seine Zwecke aus. 
Er twitterte darüber selbst zwei Jahre 
nach seinem Wahlsieg, und auch die 
„Sperrt sie ein“-Rufe seiner Anhänge- 
ıInnen hört man bei Trumps Veranstal- 
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tungen noch heute. Clinton hatte in ih- 
rer Zeit als US-Außenministerin offiziel- 
le E-Mails über einen privaten und nicht 
gesicherten Server verschickt. Sie ließ 
in ihrer Zeit als Außenministerin von 
2009 bis 2013 ihre gesamte Korrespon- 
denz über einen privaten E-Mail-Server 
in ihrem Privathaus im Bundesstaat 
New York laufen. Als dies 2015 bekannt 
wurde, verteidigte sich Clinton damit, 
sie habe zu keinem Zeitpunkt geheimes 
Material verschickt. Diese Behauptung 
wurde durch eine spätere Untersuchung 
des FBI widerlegt. Zudem ließ Clinton 
rund 30.000 E-Mails löschen mit der 
Begründung, diese seien rein privater 
Natur gewesen. Das FBI kam im Sommer 
2016 zu dem Schluss, dass die Demo- 
kratin sich nicht strafbar gemacht habe 
(E-Mail-Affäre im Weißen Haus? www. 
tagesschau.de 20.11.2018; Cassidy, Er- 
innerungen an Hillary, SZ 21.11.2018). 


USA 


Gesichtserkennungs- 
Abgleich bei Taylor-Swift- 
Konzert 


Bei einem Konzert der US-Sängerin 
Taylor Swift im Mai 2018 wurde einem 
Medienbericht zufolge heimlich eine 
Gesichtserkennung der BesucherInnen 
durchgeführt, um nach Personen zu 
suchen, die für Belästigungen der US- 
Sängerin bekannt waren. Demgemäß 
hat der Security-Experte Mike Downing 
nach eigener Aussage auf der Veran- 
staltung eine Vorführung des Systems 
begutachtet. Ihm zufolge war bei dem 
Konzert im kalifornischen Pasadena ein 
Bildschirm installiert, auf dem Videos 
der Proben gezeigt wurden. Ohne dass 
dies ersichtlich gewesen sei, habe eine 
dort installierte Kamera alle Zuschau- 
erInnen erfasst. Die Bilder wurden 
demnach an eine „Kommandozentrale” 
in Nashville weitergeleitet, wo sie mit 
einer Datenbank abgeglichen wurden, 
in der „Hunderte bekannte Stalker der 
Sängerin” erfasst waren. Die Sänge- 
rin wird seit Jahren von Fans belästigt 
und bedroht; einige brachen sogar in 
ihr Haus ein. Swifts Rasterfahndung ist 
als Notwehrmaßnahme in den USA an- 
geblich legal. Es bestünden aber „offen- 
sichtliche Datenschutzbedenken”. Was 
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bei einem Fund passiert wäre, wie hoch 
die Fehlerrate war und ob es überhaupt 
Treffer gab, wurde nicht bekannt ge- 
geben. Vom Management der Sängerin 
wurde das Vorgehen nicht kommentiert. 
Bei der Veröffentlichung wurde auf 
den größeren Zusammenhang hinge- 
wiesen, dass der Eintrittskartenshop 
Ticketmaster, eine Tochterfirma des 
Musikkonzerns Live Nation, Anfang Mai 
2018 ein Investment in Blink Identity 
öffentlich gemacht hatte. Das Unter- 
nehmen entwickelt Technik, mit der 
automatisierte Gesichtserkennung bei 
Personen funktionieren soll, die sich 
bewegen. Das soll bei bis zu 60 Perso- 
nen pro Minute klappen. Damit könnten 
zuerst einmal VIP-Gäste schneller durch 
Eintrittskontrollen geschleust werden, 
hofft Ticketmaster. Man wolle bei der 
Einführung aber sehr zurückhaltend 
vorgehen. Die Technik soll 2019 erstmals 
zum Einsatz kommen und vorerst auf 
Freiwilligkeit beruhen (Holland, Taylor 
Swift: Mit heimlicher Gesichtserken- 
nung auf der Suche nach Stalkern, www. 
heise.de 13.12.2018, Kurzlink: https:// 
heise.de/-4249514; Hurtz, Rasterfahn- 
dung im Konzert, SZ 14.12.2018, 9). 


China 


Kfz-Hersteller liefern 
Daten von E-Autos 


In China funken Elektroautos sensible 
Informationen nicht nur an die Herstel- 
lerfirmen, sondern diese übermitteln die 
meist personenbezogenen Daten auch an 
spezielle Auswertungszentren vor Ort, 
wo sich dann die chinesischen Behörden, 
u. a. auch die Polizei, bedienen können. 
An dem Programm beteiligen sich gemäß 
Presseberichten mehr als 200 Autobauer, 
zu denen aus Deutschland VW, BMW und 
Daimler gehören sowie andere globale 
oder nationale Größen wie Tesla, Ford, 
General Motors, Nissan, Mitsubishi und 
das Startup Nio. 

Mehr als 61 „Datenpunkte“ leiten die 
Herstellerfirmen gemäß den nationa- 
len Spezifikationen an Institutionen 
wie das Shanghai Electric Vehicle Pub- 
lic Data Collecting, Monitoring and Re- 
search Center. Dazu gehören neben den 
heiklen Standortinformationen, mit de- 
nen sich ausgefeilte Bewegungsprofile 


erstellen lassen, Details zur Akku- und 
Motorenfunktion. Gemäß einem Be- 
richt des International Council on Clean 
Transportation sind die Bestimmungen 
zum Datentransfer seit Anfang 2017 in 
Kraft. Im Shanghaier Sammelzentrum 
werden unter anderem die übermittel- 
ten Messwerte genutzt, um nahezu in 
Echtzeit eine Übersichtskarte vom Fluss 
von über 222.000 E-Autos, insbesonde- 
re PKW, in der Küstenmetropole zu er- 
stellen. Der stellvertretende Leiter der 
staatlich finanzierten Einrichtung, Ding 
Xiaohua, erklärte, so könne man die Re- 
gierung mit vielen Daten von Verbrau- 
cherInnen versorgen, um Peking etwa 
die Verkehrsplanung zu erleichtern. Auf 
Ersuchen hin würden die Informationen 
auch an Sicherheitsbehörden weiterge- 
geben. Bisher sei dies aber erst einmal 
im Fall eines Autos, das Feuer gefangen 
habe, der Fall gewesen. 

Die Daten fließen dem Bericht zufol- 
ge auch an ein nationales Kontrollzent- 
rum für E-Fahrzeuge beim Pekinger In- 
stitut für Technologie. Dieses sammle 
Messwerte von über 1,1 Millionen Pkw, 
Lkw und Bussen im ganzen Land. Die 
Zahlen werden voraussichtlich stark 
zunehmen, da der Anteil der Verkäufe 
von E-Kfz am Automarkt in China von 
2,6% im Jahr 2017 bis 2025 auf 20% an- 
steigen soll. ExpertInnen gehen davon 
aus, dass die Fahrzeugdaten auch das 
staatliche chinesische Überwachungs- 
system erweitern. Maya Wang von der 
Menschenrechtsorganisation Human 
Rights Watch stellte fest: „Die Regie- 
rung will jederzeit wissen, was die 
Leute vorhaben, und darauf möglichst 
schnell reagieren.” Der frühere US-Mi- 
nister für Homeland Security Michael 
Chertoff ergänzte, in der Volksrepublik 
China gebe es keinen Schutz vor staat- 
lichem Ausspähen. Mit den Messwerten 
lerne man sehr viel über die täglichen 
Aktivitäten der BürgerInnen, was Teil 
einer „ubiquitären Überwachung” sei. 
Die Autoindustrie solle sich selbst fra- 
gen, ob es richtig sei, derlei Instru- 
mente einem autoritären Staat verfüg- 
bar zu machen. 

Ding weist daraufhin, dass sein Zent- 
rum zwar die eindeutige Fahrzeugiden- 
tifikationsnummern habe, nicht jedoch 
die persönlichen Daten der Fahrzeug- 
halterInnen. Dafür müsse es sich erst 
an die Hersteller wenden, was bereits 
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vorgekommen sei. Die chinesischen 
Strafverfolger hätten aber einfachere 
Möglichkeiten, die Informationen über 
die Halterin oder den Halter zu bekom- 
men. Um die Fahrenden im Blick zu be- 
halten, seien die Sicherheitsbehörden 
angesichts zahlreicher anderer Mittel 
wohl gar nicht auf die Bewegungsdaten 
angewiesen. Zum Plan der Einrichtung 
gehöre es aber, Big-Data-Analysen und 
daraus ableitbare Trends zu kommerzi- 
alisieren und etwa an Unternehmen zu 
verkaufen. 

Volkswagens China-Chef Jochem 
Heizmann bestätigte, dass seine Firma 
Autodaten an ein Regierungssystem lie- 
fern muss. Ihren Aufenthaltsort gäben 
die Leute aber auch schon permanent 
bekannt, wenn sie ein Smartphone mit 
sich führten. KäuferInnen müssen laut 
VW, Daimler und General Motors in China 
in Vereinbarungen zur Datenweitergabe 
einwilligen. Tesla wollte den Fall nicht 
direkt kommentieren und verwies allge- 
mein aufeine eigene, von KundInnen zu 
bestätigende Richtlinie, dass Fahrzeug- 
daten gegebenenfalls auf Basis nationa- 
ler Gesetze mit Dritten geteilt würden. 

Die internationale Datenschutzkonfe- 
renz hatte 2017 eine Resolution verab- 
schiedet, wonach Kfz-Nutzende es ver- 
hindern können sollen, dass Standort- 
und Bewegungsdaten aus einem ver- 
netzten Auto weitergegeben werden. Die 
120 Aufsichtsbehörden aus 78 Staaten 
forderten die Hersteller auf, die Privat- 
sphäre der InsassInnen und den Schutz 
ihrer personenbezogenen Informatio- 
nen in jeder Phase der Entwicklung und 
Herstellung neuer Produkte und Dienste 
sicherzustellen. Unvermeidbare Mess- 
werte sollten möglichst anonymisiert 
oder pseudonymisiert werden (Krempl, 
E-Autos: VW, BMW, Daimler & Co. geben 
Peking Zugriff auf Standortdaten, www. 
heise.de 02.12.2018). 


Simbabwe 


Internet „abgeschaltet” 


In Simbabwe war es nach einer Ver- 
doppelung des Benzinpreises zu hefti- 
gen Protesten gekommen. Aus Furcht 
vor neuen Protesten der Opposition 
hat Simbabwes Regierung Mitte Januar 
2019 bis auf weiteres eine völlige Ab- 
schaltung des Internets angeordnet. 
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Der Schritt sei gerechtfertigt, weil es in 
sozialen Medien erneut Versuche gebe, 
Proteste zu organisieren, sagte der stell- 
vertretende Informationsminister Ener- 
gy Mutodi. Der wichtigste Mobilfunkan- 
bieter, Econet, wehrt sich vor Gericht 
gegen die Abschaltung. Bis zu einer Klä- 
rung müsse man jedoch der Anordnung 
der Regierung Folge leisten, hieß es. Bei 
Protesten gegen die drastische Erhö- 
hung der Treibstoffpreise in Simbabwe 
sind mindestens drei Menschen getö- 
tet worden. Mehrere Menschen wurden 
verletzt. Die Abschaltung des Netzes 
führte dazu, dass es Probleme gab, die 
Angestellten im öffentlichen Dienst zu 
bezahlen, da auch Finanztransaktionen 
online abgewickelt werden. Auch ande- 
re Dienste funktionierten nicht , so dass 
es auch zu Kollateralschäden bei Flug- 
buchungen, Hotelbuchungen, dem Da- 
tenaustausch zwischen Behörden oder 
bei der Polizei kam. 

Das Abschalten von Netzen wurde in 
Afrika schon mehrmals vorgenommen. 
In den Jahren von 2016 bis 2018 sind 
weltweit 371 Sperrungen dokumentiert. 
In Afrika ist dies dadurch besonders 
einfach, dass fast die gesamte Kommu- 
nikation per Funk erfolgt. Eine Regie- 
rung weist dann die Mobilfunkbetreiber 
an, das gesamte Netz oder bestimmte 
Inhalte zu blockieren, etwa den Zugang 
zu Facebook, WhatsApp oder Twitter. 
Die Provider filtern dann wie gewünscht 
die Inhalte aus dem Datenverkehr he- 
raus (Simbabwe schaltet das Internet 
ab, www.zdf.de 18.01.2019; Wie schal- 


tet man das Internet ab, Herr Holz? Der 
Spiegel Nr. 5 26.01.2019, 56). 


Mosambik 


Elektronisches Bezahl- 
system fällt aus 


Mitte November 2018 verunsicher- 
te in Mosambik über viele Tage hinweg 
ein Ausfall großer Teile des Karten- 
Bezahlsystems VerbraucherInnen und 
Geschäftsleute. Geldautomaten, mobile 
Kartenleser und Bezahlstationen in Su- 
permärkten, Tankstellen, Krankenhäu- 
sern und Hotels akzeptierten nur noch 
internationale sowie eine einzige nati- 
onale Kreditkarte als Zahlungsmittel. 
KundInnen anderer Banken mussten an 
Bankschaltern um Bargeld anstehen, 
um damit ihre Rechnungen zu bezahlen 
oder einzukaufen. Oder sie mussten auf 
Handytransfer umsteigen. Das verfüg- 
bare Bargeld wurde knapp. Hintergrund 
ist ein Streit zwischen dem mosambi- 
kanischen Bankennetzwerk Simo und 
dem portugiesischen Softwareprovider 
Bizfirst. Die KundInnen wurden nicht 
informiert. Die wirtschaftlichen Folgen 
waren dramatisch: Supermärkte klagten 
über Umsatzeinbrüche von bis zu 30%. In 
Krankenhäusern mussten Operationen 
verschoben werden, weil die PatientIn- 
nen nicht im Vorfeld bezahlen konnten. 
In den Banken bildeten sich Schlangen 
vor den Schaltern (Karten-Bezahlsystem 
fällt aus, SZ 20.11.2018, 18). 


Technik-Nachrichten 


E-Mail-Adressen mit 
Passwörtern im Netz zum 
direkten Abruf 


Troy Hunt, Betreiber der Passwort- 
Sicherheits-Webseite Have I Been Pw- 
ned (HIBP), hat eine riesige Sammlung 
mit E-Mail-Adressen und geknackten 
Passwörtern im Netz gefunden. Insge- 
samt finden sich darin knapp 773 Mio. 


unterschiedliche E-Mail-Adressen und 
21 Mio. unterschiedliche Passwörter. In 
einem Blogpost teilte er mit, dass nach 
seinen Recherchen ca. 140 Mio. E-Mail- 
Adressen neu sind. Der Unterschied zwi- 
schen den Zahlen erklärt sich dadurch, 
dass Nutzende dasselbe Passwort für 
mehr als eine Seite verwenden. In dem 
Untergrund-Forum, in dem Hunt die 
Sammlung entdeckte, wurde der Daten- 
satz unter dem Namen „Collection #1” 
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gehandelt. Die Daten stammen offenbar 
aus unterschiedlichen Quellen; alle Pass- 
wörter liegen im Klartext vor. Bei den 
betroffenen Webseiten handelt es sich 
insbesondere um solche mit der Endung 
.com. Allerdings finden sich auch Daten 
von etwa 250 deutschen Domains, dar- 
unter z. B. mannheim.fruehstueckstreff. 
de, netzwerk-psychoanalyse.de, primus- 
versand.de oder strickideen.de 

Die Anbieter der Sammlung haben 
demnach die Daten so strukturiert, dass 
sie vor allem für „Credential Stuffing” 
zu gebrauchen sind („Vollstopfen mit 
Anmeldedaten”). Bei dieser Art Angriff 
auf eine Webseite versucht der Angreifer 
nicht das Passwort eines einzelnen Ac- 
counts zu knacken, sondern füttert den 
Login-Mechanismus automatisch mit 
E-Mail- und Passwort-Kombinationen 
aus einer großen Liste. Die Listen, diein 
dem Datenleck enthalten sind, stellen 
fast 2,7 Milliarden solcher Kombinati- 
onen zur Verfügung. Angreifer können 
sie nutzen, um massenweise Konten bei 
Webdiensten zu übernehmen. Das hat 
oft Erfolg, da viele Nutzende dieselben 
Kombinationen von Mailadressen und 
Passwörtern bei vielen Diensten wieder- 
verwenden. 

Hunt hält es für plausibel, dass die 
Angaben der Verkäufer in dem Unter- 
grund-Forum stimmen und die Daten 
aus vielen verschiedenen Hacks und 
Passwort-Leaks aus der Vergangenheit 
zusammengetragen wurden. Aus der Ver- 
zeichnisstruktur des Datensatzes ließen 
sich Schlüsse über Webseiten ziehen, aus 
denen die Daten stammen könnten. Bei 
allen diesen Diensten Nachforschungen 
anzustellen, ob und wann sie gehackt 
wurden, scheine aber eine fast unlösbare 
Aufgabe zu sein, v. a. weilman dafür auf 
die Kooperation jedes einzelnen Dienstes 
angewiesen wäre. 

Wer wissen will, ob eine seiner Mail- 
adressen mit dazugehörigem Passwort 
in der Datensammlung vorkommt, der 
kann Hunts Dienst HIBO nutzen, wo die 
Daten eingepflegt sind. Allerdings sagt 
eine Anfrage dem Anwendenden nur, ob 
eine Mailadresse in dem Leak vorkommt. 
Hunt speichert aus rechtlichen und rein 
logistischen Gründen keine Passwörter 
in seinem Dienst, sondern nur Hashes 
von Mailadressen, die kompromittiert 
wurden. Ist die Adresse allerdings im 
Collection-#1-Datensatz, sollte man ge- 
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mäß der Empfehlung Hunts das dazuge- 
hörige Passwort ändern. 

Einzelne Passwörter lassen sich mit 
der Funktion Pwned Passwords der Sei- 
te überprüfen. Die Webseite sagt dem 
Anfragenden dann, ob das Passwort 
schon mal in einem bekannten Daten- 
leck aufgetaucht ist. Auch hier speichert 
Hunt nur Hashes und keine Passwörter 
im Klartext und überträgt nur Teile der 
Hashes, damit er selbst und ein mithö- 
render Angreifer nicht auf das eingege- 
bene Passwort schließen können. Hunt 
gibt sich offenbar alle Mühe, die Daten, 
die an seine Seite übermittelt werden, 
nach dem aktuellen Stand der Technik 
zu schützen. Trotzdem gilt grundsätz- 
lich die Regel: Gib niemals ein Passwort 
irgendwo auf einer Webseite ein, außer 
es handelt sich um das Passwort-Feld der 
Seite, zu der es gehört. 

Wenig später nach Veröffentlichung 
dieses Leak haben IT-ExpertInnen des 
Potsdamer Hasso-Plattner-Instituts 
(HPI) weitere riesige Sammlungen von 
ungesicherten Zugangsdaten im Inter- 
net gefunden. Zu den rund 770 Millio- 
nen E-Mail-Adressen und Passwörtern 
kamen noch einmal etwa 1,5 Milliarden 
Datensätze hinzu. Diese neuen Daten 
sind offenbar weitere Teile des voran- 
gegangenen Lecks. Mitarbeiter des HPI 
haben die neu entdeckten Zugangsdaten 
in eine Datenbank eingepflegt, Internet- 
nutzende können auf der Seite sec.hpi. 
de/ilc/ ihre E-Mail-Adresse eingeben. 
Das Institut gleicht diese dann mit den 
Daten in dem Leak ab und schickt eine 
Auswertung per Mail. Wer betroffen ist, 
sollte sein Passwort auf betroffenen Sei- 
ten ändern. 

Hunt empfiehlt Nutzenden, einen 
Passwort-Manager zu benutzen und da- 
für zu sorgen, dass jede Webseite ihr ei- 
genes Passwort hat. Das sollte beim Leak 
des Passworts bei einem Anwendenden 
verhindern, dass Hacker Passwortlisten 
verwenden können, um Konten bei an- 
deren Diensten zu knacken. Er empfiehlt 
den Passwort-Manager 1Password, der 
seinen Dienst HIBP bereits integriert 
hat. Als andere gute Alternative wird 
das quelloffene Community-Projekt Kee- 
Pass genannt. Die beste Verteidigung 
es aber, viele unterschiedliche starke 
Passwörter zu verwenden (Scherschel, 
Passwort-Sammlung mit 773 Millionen 
Online-Konten im Netz aufgetaucht, 


www.heise.de 17.01.2019, Kurzlink: 
https://heise.de/-42793; Brühl/Muth, 
Millionen ‚Passwörter stehen im Netz, SZ 
18.01.2019, 24; Neue Passwort-Leaks, SZ 
26./27.01.2019, 26). 


Tracking-Studie offenbart 
umfassende Netzüber- 
wachung 


Gemäß einer aktuellen großangeleg- 
ten Studie geben neun von zehn Andro- 
id-Apps Informationen ihrer Nutzenden 
an Drittfirmen weiter. Viele der Apps sen- 
den Daten nicht bloß an ein Unterneh- 
men, sondern gleich an mehrere, die fast 
immer ihren Sitz in den USA haben. Das 
Sammeln der Nutzungsdaten über die 
Smartphone-Apps dient der zielgenauen 
Werbeansprache durch die Drittfirmen. 
Die beiden größten Verwerter heißen 
Google und Facebook. Für ihre Studie 
haben die Forschenden der Universität 
Oxford und des Reuters Institute for the 
Study of Journalism knapp eine Million 
Apps heruntergeladen und deren Code 
untersucht. Nur etwa 10% der Apps er- 
fassten keine Daten ihrer Nutzenden. 
Viele der Apps senden Daten nicht bloß 
an ein Unternehmen, sondern an viele. 
Die weitaus meisten davon sitzen in den 
USA. Gut 90% aller Apps mit mindestens 
einer Verbindung zu einem Datensamm- 
ler senden Daten an ein US-Unterneh- 
men. Gut 5% kommunizieren mit chine- 
sischen Firmen. Überraschungs-Dritter 
ist Norwegen mit 3,2%. Deutschland 
(2,6%) erscheint an fünfter Stelle, nach 
Russland (ebenfalls 2,6%). Gut 88% aller 
Apps senden Daten an Google, den Her- 
steller des Betriebssystems Android. Die 
Stellung von Google ist hier sogar domi- 
nanter als beinormalen Computern. 

Das Sammeln von Nutzungsdaten über 
Computer wie über Smartphones ist kei- 
neswegs neu. Während Nutzende bei 
Computern noch gewisse Möglichkeiten 
haben, sich zu schützen, haben sie bei 
Smartphones kaum eine Chance. Das 
Problem wird dadurch verstärkt, dass PCs 
oft von mehreren Menschen genutzt wer- 
den, Smartphones dagegen sehr persön- 
liche Geräte sind. Durch ihre zahlreichen 
Sensoren und die vielfältigen Funktio- 
nen, die sie erfüllen, sind die Daten, die 
über sie gesammelt werden, von höherem 
Wert als die von normalen Computern. Je 
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mehr Daten von möglichst vielen Nutzen- 
den ein Unternehmen sammeln kann, 
desto genauer kann es mit Big-Data-Al- 
gorithmen Einstellungen, Vorlieben und 
mögliches künftiges Verhalten der Nut- 
zenden berechnen und prognostizieren. 
Für Werbetreibende ist das von höchstem 
Interesse, weil sie damit ihre potenziel- 
len KundInnen zielgerichtet ansprechen 
und manipulieren können. 

Das Forscherteam um Reuben Binns 
stellte fest, dass die meisten Apps mit 
mehreren Datensammel-Firmen ver- 
knüpft sind, die wiederum oft zu un- 
terschiedlichen Mutterfirmen gehören. 
Die Forschenden empfehlen daher Auf- 
sichtsbehörden, sich weniger auf Apps zu 
stürzen als auf die Firmen, die hinter den 
Datensammlern stehen. Viele der ange- 
wandten Praktiken sind gesetzeswidrig, 
so etwa die Erstellung von Profilen von 
Kindern. Die europäische Datenschutz- 
grundverordnung verbietet das, wenn 
durch Verhaltensanalyse signifikante Ef- 
fekte auf die Nutzenden entstehen kön- 
nen. Aus der Studie ergibt sich, dass die 
Regulierung des Trackens äußerst kom- 
plex ist, da viele Akteure beteiligt sind, 
Nutzende, Gerätehersteller, Betriebssys- 
temhersteller, die Entwickler der Apps 
und die Tracking-Firmen, die jeweils 
verschiedene Interessen verfolgen und 
verschiedene Möglichkeiten haben: 
„Eine wirksame Regulierung erfordert 
Zusammenarbeit zwischen den Regula- 
toren und dieser Myriade anderer Akteu- 
re“ (Martin-Jung, Jäger und Sammler, SZ 
05.11.2018, 18). 


Google-Tochter Verily 
stoppt Glukose-messende 
Kontaktlinse 


Den Glukosespiegel in der Tränenflüs- 
sigkeit zu messen, ist nicht so einfach, 
wie die Google-X-Entwickler von Verily, 
Alphabets Abteilung für Life Sciences, 
sich das vorgestellt haben. Sie haben 
deshalb die Arbeit an einer Kontaktlinse 
für Diabetes-PatientInnen eingestellt. 
Das System lieferte nicht die gewünsch- 
ten Ergebnisse. 

Vor vier Jahren hatte das Forschungs- 
labor Google X das Konzept einer mit 
Sensoren ausgestatteten Kontaktlinse 
vorgestellt. Diese sollte den Blutzucker- 
spiegel in der Tränenflüssigkeit messen 
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und zwar in Sekundenabständen, so 
dass die TrägerInnen ihren Zuckerspiegel 
beinahe in Echtzeit hätten überwachen 
können. Der Pharmakonzern Novartis 
wollte die Kontaktlinse in Serie herstel- 
len (vgl. DANA 2014, 81). Die Entwickler- 
Innen von Verily resümierten nun: „In 
unserer klinischen Arbeit mit der Glu- 
kose-messenden Linse hat sich gezeigt, 
dass die Messungen des Glukosewerts in 
der Tränenflüssigkeit und im Blut nicht 
genug Übereinstimmung aufwiesen, um 
die Anforderungen an ein medizinisches 
Gerät zu erfüllen.” Daher habe man sich 
dazu entschlossen, dieses Projekt erst 
einmal zu stoppen. Verily wolle jedoch 
weiter an smarten Kontaktlinsen arbei- 
ten, ebenso an Projekten zur Behandlung 
von Diabetes. Ziel sei es, eine unauffäl- 
lige und günstige Methode zur Messung 
des Zuckerspiegels zu entwickeln. Veri- 
ly war im Zuge des Konzernumbaus von 
Google im Jahr 2015 in ein eigenes Un- 
ternehmen ausgegliedert worden (Pluta, 
Verily: Alphabet stoppt Arbeit an Gluko- 
se-messender Kontaktlinse, www.golem. 
de 17.11.2018). 


Suchmaschine 
Startpage.com mit 
anonymer Surffunktion 


Die datenschutzfreundliche Suchma- 
schine „startpage.com” hat eine „An- 


onyme Ansicht”-Funktion entwickelt. 
Sie schützt die UserInnen vor Tracking, 
indem sie nicht nur beim Suchen, son- 
dern auch beim Aufrufen einer Seite ei- 
nen anonymisierenden Puffer zwischen 
Websites und Usern schafft. 

Während z. B. der Inkognito-Modus 
nicht vor Tracking oder dem Speichern 
und Verkaufen der persönlichen Da- 
ten schützt, soll dies gemäß Unter- 
nehmensangaben bei der „Anonymen 
Ansicht” gewährleistet sein. Dabei 
besucht Startpage anstelle der UserIn 
selbst die von ihr ausgewählte Website 
und zeigt sie der UserIn anonym an. 
Die besuchte Website sieht nur Infor- 
mationen von Startpage, während die 
UserIn selbst für den Webseitenbetrei- 
ber unsichtbar bleibt. Die „Anonyme 
Ansicht” ist kostenlos und befindet 
sich rechts neben dem jeweiligen Su- 
chergebnis. 

Startpage-CEO Robert Beens erklär- 
te: „Anders als beim Inkognito-Modus 
schützt die Anonyme Ansicht wirklich. 
Sie kombiniert Suchen in Privatsphäre 
mit Surfen in Privatsphäre. Wir werden 
weiterhin die besten Suchergebnisse 
ohne Tracking und Profiling anbieten.” 
Sein Unternehmen hat seinen Sitz in 
Europa, zeichnet sich durch eine ano- 
nyme Suche im Internet aus und ver- 
spricht, keine persönlichen Daten oder 
Userprofile zu speichern (PE Startpage. 
com 29.11.2018). 


Rechtsprechung 


BVerfG 


Strafverfolgungszwecke 
zwingen E-Mail-Anbieter 
zur IP-Speicherung 


Das Bundesverfassungsgericht (BVerfG) 
in Karlsruhe hat mit Beschluss vom 
20.12.2018 bestätigt, dass auch E-Mail- 
Anbieter, die mit hohem Datenschutz 
werben, mit Strafverfolgern koope- 
rieren und auf Anfrage IP-Adressen 
nennen müssen (Az. 2 BvR 2377/16). 


Demgemäß müssen sie Strafverfolgern 
IP-Adressen von Nutzenden mitloggen 
und mitteilen, auch wenn sie diese nor- 
malerweise nicht protokollieren. Die 
Tatsache, dass diese Adressen im Sinne 
der Grundrechte durchaus schutzwürdig 
sind, stehe dem nicht im Weg. Die dritte 
Kammer des BVerfG wies damit eine Kla- 
ge des Mailproviders Posteo als unzuläs- 
sig und teils unbegründet ab. 

Der E-Mail-Anbieter wirbt für seine 
Dienste mit besonderer Datensparsam- 
keit. Posteo zeigt via Network Adress 
Translation (NAT) die IP-Adressen nicht 
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nach außen an und speichert diese je- 
weils nur sitzungsbezogen sowie tem- 
porär in einer internen Datenbank. Als 
die Staatsanwaltschaft Stuttgart 2016 
anklopfte und wegen eines Verdachts 
aufVerstöße gegen das Betäubungsmit- 
tel- und Kriegswaffenkontrollgesetz Te- 
lekommunikationsdaten eines Kunden 
haben wollten, erklärte der Provider, die 
IP-Adressen nicht liefern zu können. 

In den sich anschließenden Verfah- 
ren vor dem Amtsgericht und dem Land- 
gericht Stuttgart hielten die Posteo- 
Anwälte den Gerichten unter anderem 
entgegen, dass auch die sogenannte 
Infrastrukturpflicht (8 110 TKG), mit 
der Provider zum Vorhalten von Über- 
wachungstechnik verpflichtet wird, 
keine klare Rechtsgrundlage für die Er- 
hebung der IP-Adressen beinhalte. Das 
BVerfG folgte den Vorinstanzen und 
unterstrich, dass IP-Adressen wie ande- 
re Verkehrsdaten unter den Sammelbe- 
griff „andere Adressierungsangabe” (8 7 
Abs.1 Satz 1Nr. 4TKÜV) fallen. Bei Straf- 
taten erheblicher Bedeutung könnten 
die Strafverfolger die IP-Adressen daher 
verlangen. Das bedeutet nach Ansicht 
der Verfassungsrichter „nicht zwangs- 
läufig, dass der Beschwerdeführer als 
Betreiber einer Telekommunikationsan- 
lage verpflichtet ist, Vorkehrungen zu 
treffen, um den Ermittlungsbehörden 
auch und gerade diese IP-Adressen zur 
Verfügung zu stellen.” Die fallbezoge- 
ne Herausgabe ab Mitteilung, so der 
Schluss, genüge. 

Der Provider hatte das gegen ihn ver- 
hängte, bescheidene Ordnungsgeld 
von 500 Euro längst bezahlt, machte 
aber geltend, dass die von ihm ver- 
langte Maßnahme für ihn teuer wer- 
den kann. Eine etwa über 12 Monate 
laufende Überwachungsmaßnahme 
schlage bei Beibehaltung seines daten- 
sparsamen Systems mit rund 80.000 
Euro zu Buche. Die Richter des BVerfG 
erkennen an, dass der Beschwerdefüh- 
rer Sanktionen künftig eben nur durch 
„erhebliche, zeit- und kostenintensive 
Umbauarbeiten vermeiden kann.” Dies 
sei aber „lediglich eine Folge der vom 
Beschwerdeführer bewusst gewählten 
Systemstruktur”. Die Wahl eines daten- 
schutzoptimierten Geschäftsmodells 
könne den Beschwerdeführer nicht von 
der Einhaltung der Koorperationspflich- 
ten mit Strafverfolgern suspendieren. 
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Auf eine mögliche Existenzbedrohung 
hatte das Unternehmen nicht verwie- 
sen. Für kleine oder neu auf dem Markt 
kommende Mailanbieter oder andere 
Provider, die auf besonders hohen Da- 
tenschutz setzen, könnte das allerdings 
anders aussehen. 

Posteo zeigte sich „sehr überrascht” 
von der Entscheidung, die die bisheri- 
ge rechtliche Auskunftssystematik auf 
den Kopf stelle: „Bisher war unbestrit- 
ten, dass sich die Auskunftspflicht nur 
auf Daten bezieht, die bei TK-Anbietern 
nach & 96 TKG tatsächlich auch vorlie- 
gen. Nun sollen Daten auch alleinig zu 
Ermittlungszwecken erhoben werden: 
Daten, die beim TK-Anbieter im Ge- 
schäftsbetrieb nachweislich so gar nicht 
anfallen - und die er im Geschäftsbe- 
trieb auch nicht benötigt”. Posteo will 
nach dem Beschluss nun nicht damit 
beginnen, die IP-Adressen der Kun- 
dInnen zu loggen: „Ein konservativer 
System-Umbau ist für uns keine Option” 
(Ermert, Bundesverfassungsgericht: 
Mail-Provider muss IP-Adressen heraus- 
geben, www.heise.de 29.01.2019, Kurz- 
link: https://heise.de/-4291456). 


BSG 


Foto-Löschung nach 
eGK-Herstellung rechtlich 
geboten 


Gemäß einem Urteil des Bundes- 
sozialgerichts (BSG) in Kassel vom 
18.12.2018 müssen Krankenkassen 
nach Herstellung einer „elektronischen 
Gesundheitskarte” (eGK) das hierfür 
verwendete Foto wieder löschen, da die 
bislang übliche dauerhafte Speicherung 
ohne Zustimmung des Versicherten ge- 
gen Datenschutzrecht verstößt (Az.:B1 
KR 31/17). 

Die eGK wird seit 2013 von den Kran- 
kenkassen ausgegeben und muss seit 
Anfang 2014 genutzt werden. Seit 2015 
dürfen die medizinischen Leistungs- 
erbringer für die Kostenabrechnung 
keine anderen Nachweise mehr aner- 
kennen. Die Karten haben ein Foto des 
Versicherten und einen Speicherchip. 
Auf diesem sind bislang nur dieselben 
„Stammdaten“ gespeichert, die auch 
schon früher auf der Krankenversicher- 
tenkarte aufgedruckt waren, darunter 


Name, Geburtsdatum, Anschrift und 
Geschlecht. Künftig sollen auch weite- 
re Daten gespeichert werden, etwa die 
Blutgruppe, Allergien und andere wich- 
tige Krankheiten. Die Fotos sollen ins- 
besondere Missbrauch verhindern. Die 
Krankenkassen speichern diese bislang 
routinemäßig bis zum Ende des Versi- 
cherungsverhältnisses und verwenden 
sie auch für spätere Ausfertigungen 
oder für Ersatzkarten. 

Ein Mitglied der Techniker Kranken- 
kasse sah dadurch sein Recht auf infor- 
mationelle Selbstbestimmung verletzt. 
Mit seiner Klage verlangte er zuletzt 
noch die Löschung des Fotos nach Her- 
stellung der Karte. Die Techniker Kran- 
kenkasse meinte, die Fotos würden si- 
cher gespeichert, und der Datenschutz 
sei gewährleistet. Durch eine Löschung 
würden unnötige Kosten entstehen. 
Schon jetzt würden jeden Tag etwa 
10.000 Fotos an die Kasse geschickt. 
Darunter seien auch Ulkbilder, etwa mit 
einem Teddybären oder einem Pinguin. 
Die Fotos müssten daher stets überprüft 
und technisch verarbeitet werden. Im 
Gegensatz zu den Vorinstanzen stellte 
das BSG fest, dass jedenfalls ohne Zu- 
stimmung des Versicherten die Daten- 
schutzregelungen eine Verarbeitung 
und Speicherung persönlicher Daten 
und damit auch des Fotos nur für den 
jeweils konkreten Zweck - hier also 
die Herstellung der Gesundheitskarte 
erlaubten. Danach müssten die Kran- 
kenkassen das Foto löschen. Dass die 
Versicherten den Krankenkassen aber 
grundsätzlich ein Foto zur Verfügung 
stellen müssen, hatte das BSG bereits am 
18.11.2014 entschieden (B 1 KR 35/13 
R). Das Foto sei „geeignet und erforder- 
lich, um missbräuchlichen Nutzungen 
zu begegnen” (Bertram, Krankenkassen 
dürfen Versichertenfoto nicht dauer- 
haft speichern, www.heilpraxisnet.de, 
19.12.2018). 


OVG Bremen 


Moscheebesuch kein 
Grund für Einbürgerungs- 
verweigerung 


Mit Beschluss vom 09.11.2018 ent- 


schied das Oberverwaltungsgericht 
(OVG) Bremen, dass der wiederhol- 
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te Besuch einer vom Amt für Verfas- 
sungsschutz (VerfSch) beobachteten 
Moschee kein Grund ist, dem Besucher 
die Einbürgerung in Deutschland zu 
verweigern (1 LA 78/17). Die Hanse- 
stadt hatte den Einbürgerungsantrag 
des Ausländers zuvor abgelehnt, weil 
dieser zwischen 2009 und 2013 nach 
Feststellungen des VerfSch 17-mal das 
Freitagsgebet des Islamischen Kultur- 
zentrums (IKZ) besucht und dort auch 
Geld gespendet hatte. Das IKZ galt seit 
Langem als Treffpunkt fundamentalisti- 
scher Salafisten. 2017 hatte bereits das 
Verwaltungsgericht Bremen in erster 
Instanz entschieden, dass die Stadt die 
Einbürgerung nicht aus diesen Gründen 
ablehnen darf. In der Moschee gebe es 
nicht nur fundamentalistische, son- 
dern auch andere Strömungen. Spen- 
den bei Freitagsgebeten seien üblich; 
es gebe keine Anhaltspunkte dafür, 
dass der Besucher damit die „vermut- 
lich verfassungsfeindliche Tätigkeit 
des IKZ“ unterstützen wollte. Vielmehr 
habe sich der Mann vor Gericht klar zur 
freiheitlich-demokratischen Grundord- 
nung bekannt (Moscheebesucher darf 
Deutscher werden, Der Spiegel Nr. 46 
10.11.2018, 13). 


VG München 


Airbnb auskunftspflichtig 
über Kurzzeitvermieter 


Gemäß einem Urteil des Verwaltungs- 
gerichts (VG) München vom 12.12.2018 
muss Airbnb der Stadt München Daten 
zu Ferienwohnungen, die maximal acht 
Wochen im Jahr vermietet werden dür- 
fen, offenlegen (M9 K 18.4533). 

Große Städte in Deutschland versu- 
chen verstärkt, gegen die zunehmende 
Zweckentfremdung von Wohnungen 
als Ferienwohnungen vorzugehen. Das 
VG München bestätigte die Rechtmä- 
Rigkeit der Forderung der bayerischen 
Landeshauptstadt gegenüber Internet- 
anbietern wie Airbnb, umfassend über 
Wohnungen, die mehr als acht Wochen 
lang auf den Plattformen zur Vermie- 
tung an Feriengäste angeboten wer- 
den, Auskunft zu geben. Der Umstand, 
dass Airbnb seinen Firmensitz in Irland 
habe, ändert nichts daran, dass sich die 
Internetplattform an diein Deutschland 
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geltenden Vorschriften halten muss. Vor 
Gericht hatte das US-Unternehmen sich 
daraufberufen, dass wegen seines euro- 
päischen Sitzes in Dublin laut Teleme- 
diengesetz (TMG) bei Geschäften in der 
EU nur irisches Recht gelte und nicht 
bayerisches. Das Gericht bestätigte die 
Geltung der nationalen Vorschriften, da 
das Unternehmen hier tätig ist. Irland 
sei nicht für die Umsetzung des baye- 
rischen Zweckentfremdungsgesetzes 
zuständig. Airbnb sei als Wohnungsver- 
mittlerin dazu verpflichtet, die Stadt da- 
bei zu unterstützen, illegal vermietete 
Wohnungen aufzuspüren und Auskunft 
über deren Anbieter zu erteilen. Die 
Stadt verlangte vom Betreiber der Platt- 
form die Anschriften der angebotenen 
Wohnungen nebst Namen und Adressen 
der Gastgeber für den Zeitraum von Ja- 
nuar 2017 bis Juli 2018. Für den Fall, 
dass Airbnb sich weigert, hatte die Stadt 
im August 2018 mit einem Zwangsgeld 
von 300.000 € gedroht. Auch das ist ge- 
mäß dem VG München rechtens. 

Nach Angaben des Sozialreferats der 
Stadt München werden immer mehr 
Wohnungen für Feriengäste über Inter- 
netportale angeboten. Um Zweckent- 
fremdungen zu bekämpfen, setzte die 
Behörde ein Sonderermittlungsteam ein, 
das im Jahr 2017 bereits 21.000 Woh- 
nungen untersuchte. Mitte Januar 2018 
ging eine Meldeplattform online, wo ver- 
dächtige Wohnungen etwa in der Nach- 
barschaft mitgeteilt werden können. 
Im ersten Jahr waren so mehr als 1.000 
Hinweise eingegangen. 298 Wohnungen 
führte die Stadt gemäß eigenen Anga- 
ben dem Wohnungsmarkt wieder zu. Es 
wurden 92 Gerichtsverfahren zu Gunsten 
der Städte entschieden und Bußgeldbe- 
scheide in Höhe von 851.110 Euro erlas- 
sen. Die Daten von Airbnb sollen von dem 
Ermittlungsteam „Raum für München” 
mit den registrierten Ferienwohnungen 
abgeglichen werden, um die mutmaßlich 
illegalen herauszufiltern. 

Münchens Oberbürgermeister Die- 
ter Reiter begrüßte, „dass sich Airbnb 
nicht aus der Verantwortung ziehen 
kann“. Jede bezahlbare Wohnung werde 
für die Münchnerinnen und Münchner 
gebraucht. Das Urteil vom VG könnte 
auch anderen Städten eine Orientierung 
bieten, die ebenfalls gegen Zweckent- 
fremdung kämpfen. Airbnb prüft nun 
maximal einen Monat, ob es Berufung 


einlegt. Eine Sprecherin erklärte, der 
Schutz der Nutzerdaten habe höchs- 
te Priorität. Man wolle aber weiter mit 
München zusammenarbeiten, um „ge- 
meinsam einen effektiven Wohnraum- 
schutz zu unterstützen und gleichzeitig 
dazu beizutragen, dass Münchner ihr 
Zuhause mit Reisenden teilen können”. 

Die Rechtslage bei der Zweckentfrem- 
dung ist in den Städten unterschied- 
lich, so dass das Urteil nicht eins zu eins 
auf sie übertragen werden kann. Auch 
in Berlin und Hamburg versuchen die 
Behörden, mit Ermittlungen und Buß- 
geldandrohungen gegen Zweckentfrem- 
dungen vorzugehen (Airbnb muss Iden- 
tität von Vermietern herausgeben, www. 
zeit.de 13.12.2018; Kohrs, Airbnb muss 
Gastgeber preisgeben, SZ 14.12.2018, 
28). 


OLG Hamburg 


Marktverhaltensregelnde 
Datenschutznormen sind 
abmahnfähig 


Das Oberlandesgericht (OLG) Ham- 
burg hat mit Urteil vom 25.10.2018 als 
erstes OLG bundesweit entschieden, 
inwieweit Verstöße gegen die Daten- 
schutz-Grundverordnung (DSGVO) 
wettbewerbsrechtlich abgemahnt wer- 
den können. Es kommt dabei grund- 
sätzlich zu einem positiven Ergebnis 
(3 U 66/17). Abmahnungen sind bei 
Datenschutzverstößen demnach nur 
möglich, wenn sich Unternehmen durch 
den DSGVO-Verstoß einen Vorteil im 
Wettbewerb verschafft haben. Deutsche 
Gerichte sind sich bisher in dieser Fra- 
ge uneins (vgl. DANA 4/2018, 223 f. mit 
Hinweisen auf die Entscheidungen des 
LG Würzburg und des LG Bochum). Bei 
der Entscheidung aus Hamburg ging 
es um zwei Pharmaunternehmen, die 
sich wegen Verstößen gegen das Daten- 
schutzrecht gegenseitig verklagt hat- 
ten. Nach Ansicht des OLG muss im Ein- 
zelfall jeweils die Regelung in der DSGVO 
daraufhin überprüft werden, ob sie eine 
Marktverhaltensregel zum Gegenstand 
hat. Ist das der Fall, können Mitwerber 
Verstöße nach Einschätzung der Ham- 
burger Richter wettbewerbsrechtlich 
abmahnen. Es kommt also darauf an, ob 
sich Unternehmer durch den Rechtsver- 
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stoß einen Wettbewerbsvorteil gegen- 
über ihrer Konkurrenz verschafft haben. 
Ist dies der Fall, so können Mitbewerber 
gemäß 8 3a UWG (Gesetz gegen den un- 
lauteren Wettbewerb) abmahnen. Es 
kann also nicht pauschal vorgegangen 
werden. Vielmehr hängt es gemäß dem 
OLG davon ab, ob die jeweilige DSGVO- 
Regelung als Marktverhaltensregelung 
angesehen wird, was letztlich der Bun- 
desgerichtshof (BGH) höchstrichterlich 
feststellt. 

Das erstinstanzliche Urteil hatte 
das Landgericht Hamburg im Fall der 
Pharmaunternehmen bereits im März 
2017 gefällt - also mehr als ein Jahr, 
bevor die DSGVO europaweit verbind- 
lich wurde. Da Unterlassungsansprüche 
in die Zukunft gerichtet sind, werden 
diese anhand der Normen geprüft, die 
zum Zeitpunkt der mündlichen Ver- 
handlung gelten. Die Verhandlung vor 
dem OLG Hamburg fand am 25.10.2018 
statt, also als die DSGVO genau fünf Mo- 
nate anwendbar war (Leupold, Oberlan- 
desgericht sagt „vielleicht“ zu DSGVO- 
Abmahnungen, www.handwerk.com 
30.11.2018). 


LG Bonn 


WHOIS-Domain-Datenbank 
ist nicht DSGVO-konform 


Das Landgericht (LG) Bonn wies 
mit Beschluss vom 29.05.2018 einen 
Antrag auf einstweilige Anordnung 
gegen den in Deutschland beheimate- 
ten Registrar EPAG zurück, über den 
EPAG verpflichtet werden sollte, Kon- 
taktdaten von Tech-C und Admin-C zu 
erheben und der Internetverwaltung 
ICANN zur Verfügung zu stellen (Az. 10 
0 171/18). In der europäischen Daten- 
schutzgrundverordnung (DSGVO) ist 
der Grundsatz der Datensparsamkeit 
verankert. Diesem kommt die Internet- 
verwaltung ICANN mit ihrer Domain- 
Registrierungsdatenbank WHOIS nicht 
nach. Wer eine Internetadresse regist- 
rieren will, kommt an der US-amerika- 
nischen Internetverwaltung Internet 
Corporation for Assigned Names and 
Numbers (ICANN) nicht vorbei. Diese 
hatte Mai 2018 ein Gerichtsverfahren 
gegen die EPAG Domainservices GmbH, 
ein zur Tucows-Gruppe gehörender Re- 
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gistrar mit Sitz in Bonn, eingeleitet. 
Grund dazu gab die unterschiedliche 
Interpretation von Tucows und ICANN 
bezüglich der Auslegung der DSGVO. 

Der Registrar-Akkreditierungsvertrag 
der ICANN in der Fassung von 2013 
verpflichtete, so der Beschluss, zur Er- 
hebung nicht erforderlicher Daten. So 
wurden bisher beispielsweise personen- 
bezogene Daten von Personen verlangt, 
zu denen kein direkter Bezug besteht, 
wie die Admin- und Tech-Kontakte - 
also der technischen sowie administra- 
tiven Domainverwaltung. Anhand der 
bei ICANN gespeicherten Daten konnte 
bisher zudem ein Domaininhaber ganz 
einfach über eine WHOIS-Abfrage er- 
mittelt werden, indem der Rechteinha- 
ber auf der Website des Registrars die 
entsprechende Web-Adresse eingab. So- 
fort erhielt man Informationen über die 
Identität des Domaininhabers und den 
Ansprechpartner für technische und 
administrative Belange dieser Domain. 
Die WHOIS-Domain-Datenbank verstößt 
demnach also in ihrer ursprünglichen 
Form gegen die DSGVO. Entsprechend 
hat die Tuscows-Gruppe ihr Formular 
den europäischen Datenschutzrichtlini- 
en angepasst. 

ICANN hatte argumentiert, die Frag- 
mentierung der WHOIS-Datenbank be- 
deute eine potenzielle Gefahr. So könn- 
ten Cyberkriminelle davon profitieren. 
ICANN forderte deshalb eine Ausnahme 
von der Datenschutz-Grundverordnung, 
so ihr Präsident Göran Marby: „Wir prü- 
fen alle verfügbaren Möglichkeiten, 
einschließlich rechtlicher Schritte in 
Europa, um auch weiterhin diese wich- 
tige globale Informationsressource 
koordinieren zu können.” Gemäß dem 
Beschluss des LG konnte ICANN nicht 
glaubhaft darlegen, dass das Speichern 
jener Daten, die über die Information 
des Domaininhabers hinausgehen, er- 
forderlich seien. Man könne gemäß dem 
in der DSGVO verankerten Grundsatz der 
Datensparsamkeit nicht erkennen, wozu 
zusätzliche Daten erhoben werden. Die 
ICANN hatte eingeräumt, dass Domains 
registriert werden können, wenn diese 
drei Datensätze identisch sind. Mit dem 
Beschluss scheint der Streit über die 
Umsetzung der DSGVO noch nicht be- 
endet zu sein. Die ICANN erklärte, sich 
deshalb sowohl mit der EU-Kommission 
als auch mit dem europäischen Daten- 


schutzbeauftragten in Verbindung zu 
setzen (Gandorfer, WHOIS-Domain-Da- 
tenbank nicht DSGVO-konform, www. 
it-business.de, 02.10.2018). 


LG Berlin 


Mieter hat Beseitigungs- 
anspruch wegen Kamera- 
attrappe 


Das Anbringen einer täuschend ech- 
ten Kameraattrappe im Hauseingang 
durch den Vermieter ist gemäß einem 
Urteil des Landgerichts (LG) Berlin vom 
14.08.2018 dann nicht zulässig, wenn 
weniger einschneidende Möglichkeiten 
des Eigentumsschutzes bestehen (67 S 
73/18). Ein milderes Mittel könne etwa 
eine zuverlässig und schnell ins Schloss 
fallende Eingangstür darstellen. In dem 
zugrunde liegenden Fall wehrte sich ein 
Wohnungsmieter in Berlin gegen das 
Anbringen einer Video-Überwachungs- 
kameraattrappe im Hauseingang durch 
den Vermieter. Die Kameraattrappe 
wirkte täuschend echt. Durch diese soll- 
te ein Zutritt von Obdachlosen ins Haus 
verhindert werden. Diese hatten in der 
Vergangenheit im Haus genächtigt. Der 
Mieter fühlte sich durch die Kameraat- 
trappe überwacht und klagte auf Entfer- 
nung des Geräts. 

Das Amtsgericht (AG) Berlin-Mitte 
hatte als Vorinstanz die Klage abgewie- 
sen. Seiner Auffassung nach sei wegen 
der bloßen Attrappeneigenschaft der 
Videokamera kein Eingriff in das allge- 
meine Persönlichkeitsrecht des Mieters. 
Hiergegen hatte der Mieter Berufung 
eingelegt. Das LG entschied zu Gunsten 
des Mieters und hob die Entscheidung 
des AG auf. Dem Mieter stehe ein An- 
spruch auf Entfernung der Video-Über- 
wachungskameraattrappe zu. Die Ins- 
tallation der Kamera stelle einen nicht 
gerechtfertigten Eingriff in das allge- 
meine Persönlichkeitsrecht des Mieters 
dar. Da die Kameraattrappe täuschend 
echt wirkte und somit von außen nicht 
ersichtlich gewesen sei, ob eine bloße 
Attrappe oder eine Videokamera-Anla- 
ge mit Aufzeichnung betrieben werde, 
habe ein unzulässiger Überwachungs- 
druck vorgelegen. 

Zwar dürfe ein Vermieter zum Eigen- 
tumsschutz Maßnahmen ergreifen. Da- 
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bei müsse er aber den Verhältnismäßig- 
keitsgrundsatz beachten. Im vorliegen- 
den Fall habe eine weniger einschnei- 
dende Möglichkeit des Eigentumsschut- 
zes bestanden. Als milderes, aber gleich 
effektives Mittel sei eine technische 
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Simitis, Spiros/Hornung, Gerrit/ 
Spieker gen. Döhmann, Sarah (Hrsg.) 
Datenschutzrecht - DSGVO mit BDSG 
Nomos Baden-Baden 2019, ISBN 978-3- 
8487-3590-7, 1474 5.,198 € 


(tw) Der neue „Simitis“ war schon 
lange angekündigt; er kommt spät - 
die Konkurrenz lieferte früher und 
teilweise schon in der zweiten Aufla- 
ge - aber nicht zu spät. Spiros Simitis, 
der Doyen des deutschen Datenschut- 
zes und der einzig Übriggebliebene 
aus der allerersten Generation des 
deutschen Datenschutzes, steuert au- 
ßer seinem guten Namen in dem DS- 
GVO-Kommentar Passagen der Einlei- 
tung bei, die teilweise aus dem allein 
von ihm herausgegebenen Vorwerk, 
der 8. Auflage des großen BDSG-Kom- 
mentars, übernommen wurden. Aus 
diesem Werk gibt es wenige weitere 
Bekannte, etwa Alexander Dix, Eugen 
Ehmann, Thomas Petri, Philip Scholz 
oder Achim Seifert. Hinzu gekommen 
sind außer dem neuen Herausgebern 
weitere einschlägige ExpertInnen: 
Jan Philipp Albrecht, Franziska Böhm, 
Johannes Caspar, Stefan Drewes, Ma- 
rit Hansen, Moritz Karg, Jan Hend- 
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Veränderung der Haustür in Betracht ge- 
kommen, durch die sichergestellt werden 
könne, dass die Tür schnell ins Schloss 
falle. Dadurch könne ein ungewollter 
oder unberechtigter Zutritt unbefugter 
Dritter verlässlich verhindert werden 


rik Klement, Sven Polenz, Alexander 
Roßnagel, Peter Schantz, Stephanie 
Schiedermair, Christoph Schnabel. 
Die meisten der Genannten sind nicht 
nur hier präsent, sondern in anderen, 
teilweise eigenen, teilweise fremd he- 
rausgegebenen Werken. 

Während in allen anderen EU-Staaten 
eher gähnende Leere hinsichtlich der 
Literatur zur Datenschutz-Grundver- 
ordnung (DSGVO) festzustellen ist, 
läuft der deutsche Markt dazu über. 
Hintergrund dieser besonderen litera- 
rischen Bearbeitung ist sicher, dass die 
Einführung der DSGVO hierzulande mit 
dem größten Trara erfolgte - was nicht 
zum Schaden eines wirksamen Daten- 
schutzes sein muss. 

Natürlich stellt sich nun die Frage, 
weshalb denn nun die Anschaffung 
dieses nicht gerade preisgünstigen 
Kommentars nötig ist: Was dagegen 
spricht ist, dass - entgegen dem Ver- 
sprechen des Buchcovers - keine kon- 
sistente Kommentierung des neuen 
BDSG erfolgt; hierzu gibt es lediglich 
eine Referenzliste, die auf die DSGVO- 
Kommentierungen verweist. Etwas 
kompensiert wird dieses Defizit durch 
von Scholz und Ehmann kommentier- 
te ausführliche Anhänge zu Art. 6 zu 
den Themen Videoüberwachung, Ver- 
braucherkredite/Scoring/Bonitäts- 
auskünfte, Werbung sowie Markt- und 
Meinungsforschung, die teilweise eine 
Vollkommentierung dazu gehöriger 
BDSG-Paragrafen bringen. Für eine 
PraktikerIn, die schnell einfache Ant- 
worten haben möchte, sind sowohl die 
Struktur wie auch der Umfang eine ge- 
wisse Hürde. 

Der Umfang ist dann aber insbeson- 
dere auf der Habenseite zu verbuchen: 


(Täuschend echte Kameraattrappe im 
Hauseingang bei weniger einschneiden- 
den Möglichkeiten des Eigentumsschut- 
zes unzulässig, www.kostenlose-urteile. 
de 16.11.2018; Überwachungsdruck, SZ 
16.11.2018, 32). 


Buchbesprechungen 


Der Kommentar liefert, ebenso wie 
ehedem der frühere „BDSG-Simitis” 
die ausführlichste und am tiefsten ge- 
hende Darstellung und greift dabei in 
großem Umfang aufschon vorliegende 
Kommentare zurück. Hat man diesen 
Kommentar, braucht man keine an- 
deren Werke, insbesondere wenn eine 
datenschutzfreundliche Auslegung 
gesucht wird, wofür die AutorInnen 
fast durchgängig stehen. Doch auch 
insofern teilt das neue Werk einen 
Nachteil des alten „Simitis”: Daten- 
schutz ist heutzutage insbesondere 
auch Internetdatenschutz, der bisher 
- wenig befriedigend - in Deutschland 
im TMG und im TKG geregelt ist. Zwar 
wird hierauf wie auch auf die geplante 
Folgeregelung der ePrivacy-Verord- 
nung eingegangen, doch werden da- 
bei wenig praktische Hilfen gegeben. 

Das große Plus des „Simitis/Hor- 
nung/Spiecker” ist die Qualität der 
Kommentierung, die sich in der Tiefe 
der Problemdurchdringung wie auch 
in Form der Durchdringung von Lite- 
ratur und Rechtsprechung ausdrückt. 
Die Historie des Datenschutzes ist bei 
der Kommentierung präsent. Die be- 
kannte Qualität des „BDSG-Simitis” 
wird gehalten. Insofern ist das Werk 
ein „Muss“ für Leute, die sich mit Da- 
tenschutz wissenschaftlich befassen. 
Dies gilt praktisch durchgängig für 
alle AutorInnen, auch wenn sie sich 
in Stil und Materialbearbeitung un- 
terscheiden. Der Abdruck der Erwä- 
gungsgründe und des Gesetzestextes, 
ein ausführliches Stichwortverzeich- 
nis sowie ein aktuelles (auf die DSGVO 
sich beziehendes) Literaturverzeich- 
nis runden die Nützlichkeit des Wer- 
kes ab. 
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EU-Kommentar 


Schwarze 

EU-Kommentar 

Becker, Ulrich/Hatje, Armin/Schoo, 
Johann/Schwarze, Jürgen (Hrsg.) 

4. Aufl. 2019, ISBN 978-3-8487-3498- 
8, 3840 S., 259,00 € 


(tw) Seit dem Jahr 2018, der direkten 
Anwendbarkeit der Datenschutz-Grund- 
verordnung, hat das Europarecht für 
DatenschutzjuristInnen eine noch zen- 
tralere Funktion erlangt als bisher: Die 
Normen werden vorrangig nicht mehr 
vom Grundgesetz bestimmt, sondern 
von den Verträgen zur Europäischen 
Union (EU). Die Rechtsprechung wird 
nicht mehr vorrangig von Bundesver- 
fassungsgericht geprägt, sondern vom 
Europäischen Gerichtshof (EuGH). Und 
der strukturelle, der organisatorische 
und prozedurale Rahmen der Gesetzge- 
bung sowie der hoheitlichen Aufsicht 
wird nicht mehr nur von nationalen Be- 
hörden bestimmt, sondern auch durch 
europäische Gremien, Organe und In- 
stitutionen. War es also bisher für eine 
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DatenschutzjuristIn üblich, zumindest 
einen Grundgesetzkommentar im Bü- 
cherschrank stehen zu haben, so muss 
künftig zumindest ein Grundsatzwerk 
zum EU-Recht verfügbar sein. 

Um ein solches handelt es sich beim 
„Schwarze“, der nun in 4. Auflage er- 
schienen ist und mit knapp 4000 Seiten 
eine wahre Fundgrube zum aktuell gel- 
tenden europäischen Verfassungsrecht 
darstellt. „Verfassungsrecht“ ist ange- 
sichts des weiterhin supranationalen 
Charakters der EU eine starke, aber be- 
rechtigte Bezeichnung: Der Schwarze 
liefert eine umfassende Kommentierung 
der gültigen Rechtsgrundlagen der EU- 
Verfasstheit, als da sind der „Vertrag 
über die Europäische Union in der Fas- 
sung des Vertrags von Lissabon (EUV), 
der „Vertrag über die ‚Arbeitsweise der 
Europäischen Union“ (AEUV) und die 
„Charta der Grundrechte der Europäi- 
schen Union“ (GRCh bzw. GRC). 

Dieses für Normalmenschen nur noch 
schwer erfassbare Regelwerk zu er- 
schließen, ist ohne fremde Hilfe auch 
für ExpertInnen praktisch nicht möglich 
angesichts der Masse an Verordnungen, 
Richtlinien und Beschlüssen der EU so- 
wie der umfangreichen EuGH-Rechtspre- 
chung, die von Portugalbis Finnland und 
Griechenland und damit auch für uns 
bestimmend ist. So begründet Art. 39 
EUV die Zuständigkeit der EU für den 
Datenschutz, sichert die Überwachung 
durch „unabhängige Behörden” zu und 
verweist auf Art. 16 des AEUV, der ne- 
ben einer ersten Grundrechtszusage die 
Zuständigkeiten des Parlaments und 
des Rats für den Erlass von Normen be- 
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gründet. Die weitere Konkretisierung der 
Grundrechtszusage erfolgt dann in Art. 8 
GRCh, der als weiterer Dreh- und Angel- 
punkt der weiteren Grundrechtskonkre- 
tisierung fungiert mit seinen Verweisen 
auf Zweckbindung, Einwilligungsgrund- 
satz und Betroffenen- insbesondere Aus- 
kunftsrechte. 

Durch den Kommentar eröffnen sich 
- was von Fachleuten wie den Daten- 
schutzexpertInnen leicht übersehen 
wird - die Bezüge des eigenen Bereichs 
zu anderen Lebens- und Regelungsberei- 
chen, etwa den Schutz von Arbeitneh- 
merInnen und Verbraucherinnen, den 
Schutz vor Diskriminierung oder die Ge- 
währleistung von Meinungsfreiheit und 
Demokratie. Nötig ist weiterhin die Ein- 
bindung des nationalen Regelungsrah- 
mens in den größeren Rahmen der EU. 
Dies wird durch eine umfassende inhalt- 
liche Darstellung, durch Verweise auf die 
relevante Rechtsprechung und Literatur 
sowie durch praxisnahe Darstellungen 
gewährleistet. Konsistenz, Vollständig- 
keit und Aktualität haben sich in der 4. 
Auflage weiter konsolidiert und können 
als zugesichert angesehen werden bei 
diesem grundlegenden Nachschlage- 
werk, das inhaltlich von nicht weniger als 
47 einschlägigen AutorInnen bearbeitet 
wurde. Im Anhang werden die üblichen 
Verzeichnisse durch weitere generell re- 
levante EU-Regelwerke (Protokolle und 
Verfahrensordnungen) ergänzt. Qualität 
ist schon immer etwas teurer gewesen; 
das Preis-Leistungsverhältnis ist aber 
hier kaum zu schlagen, weshalb die ca. 
8 Zentimeter im Bücherschrank sinnvoll 
gefüllt sind. 
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Prominentenhack hat sich In geschlechtergerechter 
herausgestellt, dass ein Sprache sind es „Russ*innen" , 
deutscher Hacker verantwortlich Russ_innen" oder Meinetwegen 
war. Vorab gab es die üblichen i Russinnen"! 
Spekulanten, die mit dem Finger i " 
auf die Russen gezeigt 


. Wenn ich den N 
Sabz von Siri, Alexa oder : 
Cortana in diesen — Es ist doch 
Schreibweisen vorlesen lassen eh on 
würde, käme „Bussinnen" heraus. : 
Gibt es demnach keine Be 
Männlichen russischen sind: 
Hacker mehr? 


Wirklich? Wenn 
ich den männlichen Teil des 
Wortes, dem immer ein „*innen" , 
„_.Innen" oder „Innen" hinzugefügt 
wird, extrahiere, dann bekomme ich „die 
Russ". Das soll Plural und männlich Sein? Im 
Duden Steht nur „der Ruß". Das ist keine 
Weiterentwicklung der Sprache im stetigen \ 
Wandel, sondern der Weg in eine ideologische Warum 
Sackgasse. Das erinnert Mich an ein von een nicht einfach 
oben verordnetes Orwellsches „Russinnen und 
„Neusprech" — oder in diesen Fall x Russen"? 
„Neuschreib". 


